Het verschil tussen een cybercrimetool hebben en cybercrime plegen

Met enige regelmaat zie ik discussie en zorgen over het gebruik van tools waarmee je (ook of alleen maar) computergerelateerde misdrijven kunt plegen. Meestal gaat het dan over scanners om zwakheden in systemen op te sporen, of stresstesters waarmee je ook ddos-aanvallen kunt plegen. Het jargon is altijd heerlijk neutraal dan, en logisch want het hebben of aanbieden van tools die bestemd zijn voor misdrijven is strafbaar. En nu was er een jongen die een tool had voor het omzeilen van antivirussoftware, dus dacht het OM: die pakken we daarop, daar heb je geen verhaal op. Maar toch werd dat een vrijspraak.

De verdachte had (zoals te lezen in het arrest) virussen en andere malware geüpload naar een betaalde internetdienst, Razorscanner genaamd. Deze controleert dan je upload met alle virusscanners ter wereld – zodat jij weet of je malware daar voorbij zou komen. Zeer geruststellend voor de klant wordt tevens gemeld dat “De maker van Razorscanner garandeert dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten worden doorgegeven.” (Ik zou het hilarisch vinden als achteraf blijkt dat ze dat wel deden.)

Aanverwant is de dienst Razorcryptor, die malware kan verstoppen door het bijvoorbeeld te koppelen aan andere software. Deze dienst werd samen met Razorscanner aangeboden, op basis van pay-as-you-go met vooraf gekochte credits. De verdachte had credits gekocht, maar stelde alleen met Razorscanner te hebben gewerkt.

Het Hof begint met vaststellen wat er nu precies strafbaar is, en daar kwamen we natuurlijk voor. Artikel 139ab Strafrecht lid 2 bepaalt:

Met dezelfde straf [als computervredebreuk, lid 1] wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid138b of 139c wordt gepleegd: a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of (…)
De discussie die we meestal hebben, is of een bepaalde tool ontworpen is voor het plegen van computervredebreuk of de andere genoemde cybercrimedelicten. Een security scanner heeft ook legitieme doelen, denk aan een bedrijfsnetwerk dat je controleert op brakke byod-apparaten of een onderzoek voor je ISO certificering.

Het Hof heeft er geen moeite deze scandienst te zien als hulpmiddel voor het plegen van computervredebreuk. Je kunt nu je malware (waarmee binnendringen vaak gepleegd wordt) beter afstemmen op het omzeilen van de antivirussoftware van organisaties. Dat is dus effectieve hulp, en duidelijk enkel en alleen bestemd voor computervredebreuk. Verzin maar eens een legitieme reden waarom je zou willen dat iets een virusscanner omzeilt.

Maar het artikel kent nóg een bepaling, namelijk dat je dat hulpmiddel voorhanden hebt met het oogmerk dat daarmee computervredebreuk wordt gepleegd. Oftewel, dat je als verdachte ook echt dat misdrijf ging plegen. Enkel dat je het hulpmiddel hebt, is dus niet genoeg. Misschien had je het per abuis, misschien was je het als journalist of researcher aan het uitpluizen, of misschien was je gewoon nieuwsgierig.

Nee, dat laatste vind ik ook geen héle sterke. Maar tot mijn verbazing zag het Hof hier dat -even kort gezegd- wél aanwezig.

De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij tijdens zijn middelbareschoolperiode geïnteresseerd is geraakt in de werking van malware en de detectiemogelijkheden van anti-malwareprogramma’s. Onder andere met behulp van MSFencode verstopte de verdachte malware in bestanden en uploadde deze bestanden naar onder meer Razorscanner. Ook testte hij bestanden die hij vond op internet. …
Een concrete aanwijzing was nog dat hij dezelfde malware meerdere malen uploadde, maar nooit malware had gewijzigd nadat de scanner had gezegd dat deze wel gedetecteerd zou worden. Daarom
kan aan de inhoud van het strafdossier en de hiervoor weergegeven informatie geen bewijs worden ontleend dat de verdachte bestanden met daarin malware naar Razorscanner heeft geüpload louter met de bedoeling te vermijden dat de omstandigheid dat de daarin aanwezige malware door geen enkele of slechts een beperkt aantal anti-malwareprogramma’s detecteerbaar was, ter kennis zou worden gebracht van de producenten van dergelijke scanners.
Er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht, aldus het Hof. Dit is niet alleen maar een “nee ik was gehackt” of “ik wilde alleen maar controleren of internet tegen een ddos kon”, hier is een onderbouwing gegeven die past bij de persoon en de feiten die zijn gevonden. (Wie nu denkt, ik verzin op dat moment ook wel een leuk verhaal dat past bij de feiten – de politie heeft meer feiten dan jij denkt, deelt niet alles met je en hangt je, terecht, op aan je leugens.) De verdachte gaat dus vrijuit.

Arnoud

 

Wanneer steel je iets bij een zelfscansupermarkt?

Een lezer vroeg me:

Ik vroeg me zo af, nu winkelketens zoals de AH inzetten op zelfstandig scannen en afrekenen, wat doet dat met de aansprakelijkheid? Een vergissing van de kassa medewerker in uw voordeel (of nadeel) lijkt mij opeens heel anders te liggen wanneer je het zelf doet.

Dit is ingewikkelder dan je denkt; menig juristenborrel werd ongezellig omdat deze discussie langskwam. De onderliggende vraag is namelijk wanneer je iets koopt in de supermarkt en hoe je dat vaststelt – en in hoeverre de objectieve vaststelbaarheid relevant is bij de vraag of je iets koopt.

Je koopt iets wanneer je het aanbod van een product aanvaardt. Dat moet blijken uit een of andere handeling die (mede) gericht is op het juridisch willen sluiten van een koop. Een ding bij de kassa neerleggen en zeggen “deze graag” is volgens mij genoeg. Maar je kunt ook zeggen, op het moment dat je het product in je mandje legt dan wil je het al hebben (en ben je bereid te betalen, zo mogen we redelijkerwijs veronderstellen) dus dan heb je het dán al gekocht.

Ook mogelijk is dat je zegt, pas als je afrekent koop je het echt, want tot dat moment is het doodnormaal je te bedenken in de supermarkt. En de gewoonte in een branche weegt mee bij de vraag of je een rechtshandeling verricht. (Normaal is niet vereist dat je betaalt om een koop te sluiten, juridisch gezien; betaling is een verplichting die ontstaat door het sluiten van de overeenkomst.)

Als je als bezoeker van de supermarkt zelf een product scant en daarna afrekent op basis van wat je gescand hebt, dan lijkt het meest logische moment om het moment van scannen aan te wijzen als het moment dat je dat product koopt. Die scan is vrij expliciet bedoeld als “dit wil ik hebben”, en de algemene voorwaarden die je gedachteloos wegklikt zeggen dat ook. Maar je creëert weer een nieuw probleem dan: mag je dan dingen achteraf weer terugleggen, of is dat een ontbinding waar je instemming van de supermarkt voor nodig hebt? Ik zou zelf dan ook het moment van afrekenen (dus de scanner bij de kassa houden en het afrekenproces doorlopen) logischer vinden.

Wanneer steel je dan? Dat doe je op het moment dat je je een product toeëigent zonder dat dat mag (“wederrechtelijk”) met de bedoeling het te houden. Dat zou je bijvoorbeeld doen als je het in een geprepareerde tas doet of stiekem in je jaszak, omdat je dan duidelijk van plan bent naar buiten te lopen met dat product zonder te betalen. Of omdat je even geen mandje had, en daarna verstrooid naar buiten loopt. Inderdaad, dan steel je niet maar het lijkt wel zo. Dat noemen strafrechtjuristen de discussie over opzet, was je het van plan of had je in ieder geval de aanmerkelijke kans aanvaard dat je straks lekker buiten stond met een niet-betaald product?

Dat laatste stond centraal in een rechtszaak uit 2015 over een persoon die een deel van de inhoud van zijn winkelwagentje niet had gescand met de zelfscanner. Volgens het OM was dat diefstal, ook als het niet volledig opzettelijk was. Als het slordigheid was, dan was het zó slordig dat we het toch opzet noemen – voorwaardelijke opzet:

Het standpunt van de officier van justitie komt er op neer dat het feit dat verdachte wist hoe het scanapparaat werkt en dat de weggenomen goederen voor meer dan de helft van de waarde ervan niet waren afgerekend, maakt dat verdachte bewust de aanmerkelijke kans heeft aanvaard dat hij deze goederen heeft weggenomen met het oogmerk om zich die wederrechtelijk toe te eigenen.

De rechtbank zag echter nog een ander probleem:

In de aangifte namens Albert Heijn wordt niet verklaard dat is gezien wie tijdens het boodschappen doen het scanapparaat heeft bediend. Verdachte en zijn dochter, die samen boodschappen aan het doen waren, hebben beiden verklaard dat de dochter van verdachte het scanapparaat heeft bediend, nadat verdachte de producten had gepakt. Verdachte heeft daarnaast echter nog verklaard dat hij ook zelf producten heeft gescand. De bewijsmiddelen sluiten derhalve niet uit dat de dochter van verdachte een deel van de in de boodschappenkar gelegde producten ten onrechte niet heeft gescand. … Nu niet kan worden vastgesteld welk deel van de boodschappen ten onrechte door verdachte niet is gescand, kan niet wettig en overtuigend worden bewezen dat verdachte heeft gehandeld met het oogmerk van wederrechtelijke toe-eigening.

Op de achtergrond woog hierbij mee dat de supermarkt de administratieve last van wat je wel en niet wil kopen, volledig bij de klant legt. “Indien door de klanten al dan niet opzettelijk fouten worden gemaakt lopen zij het risico om strafrechtelijk aangesproken te worden”, en ik proef daaruit dat de rechter dat wel een beetje stevig vond als consequentie van een stukje gemak dat de supermarkt aanbiedt. Zó makkelijk gaat dat niet.

Arnoud