ECLI:NL:HR:2019:1973

• Datum uitspraak: 17 december 2019
• Publicatiedatum: 13 december 2019
• Zaaknummer: 18/00341
• Instantie: Hoge Raad
• Type: Uitspraak
• Rechtsgebied: Strafrecht
• Procedures: Cassatie
• Rechters: W.A.M. van Schendel; Y. Buruma; M.J. Borgers; M.T. Boerlage; A.E.M. Röttgering
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Cassatie over skimming en manipulatie van e.dentifiers in bankshops

In deze zaak heeft de Hoge Raad op 17 december 2019 uitspraak gedaan in een cassatieprocedure tegen een arrest van het Gerechtshof Den Haag. De verdachte was betrokken bij een grootschalige skimmingoperatie waarbij bankpasgegevens van klanten van ABN AMRO werden afgetapt door middel van gemanipuleerde identificatiekaartlezers, de zogenaamde e.dentifiers. De verdachte en zijn mededaders hebben in de periode van 1 december 2008 tot en met 31 mei 2009 in Nederland en Groot-Brittannië meermalen opzettelijk en wederrechtelijk gegevens afgetapt en opgenomen die niet voor hen bestemd waren. De Hoge Raad heeft zich gebogen over de vraag of de gemanipuleerde e.dentifiers kunnen worden aangemerkt als 'geautomatiseerd werk' in de zin van artikel 80sexies van het Wetboek van Strafrecht. De Hoge Raad herhaalt relevante overwegingen uit eerdere jurisprudentie en concludeert dat de gemanipuleerde e.dentifiers inderdaad als geautomatiseerd werk kunnen worden aangemerkt, omdat zij in staat zijn om gegevens op te slaan, te verwerken en over te dragen. Daarnaast heeft de Hoge Raad geoordeeld dat de termen 'aftappen' en 'opnemen' in de zin van artikel 139c van het Wetboek van Strafrecht betrekking hebben op het onderscheppen en vastleggen van stromende gegevens. De Hoge Raad heeft het beroep van de verdachte verworpen, maar heeft de opgelegde gevangenisstraf verminderd vanwege overschrijding van de redelijke termijn in de cassatiefase.

Uitspraak

HOGE RAAD DER NEDERLANDEN

STRAFKAMER

Nummer 18/00341

Datum 17 december 2019

ARREST

op het beroep in cassatie tegen een arrest van het Gerechtshof Den Haag van 16 januari 2018, nummer 22/005704-11, in de strafzaak

tegen

[verdachte],

geboren te [geboorteplaats] op [geboortedatum] 1982,

hierna: de verdachte.

1. Geding in cassatie

Het beroep is ingesteld door de verdachte. Namens deze heeft V.A. Groeneveld, advocaat te Amsterdam, bij schriftuur middelen van cassatie voorgesteld. De schriftuur is aan dit arrest gehecht en maakt daarvan deel uit.

De Advocaat-Generaal T.N.B.M. Spronken heeft geconcludeerd tot vernietiging van het bestreden arrest, maar uitsluitend voor wat betreft de onder 1 en 2 bewezenverklaarde feiten en de strafoplegging en tot terugwijzing van de zaak naar het Gerechtshof te ’s‑Gravenhage teneinde deze feiten op het bestaande hoger beroep opnieuw te berechten en af te doen en tot verwerping van het cassatieberoep voor het overige.

2. Bewezenverklaring, bewijsvoering en gevoerd verweer

2.1

Ten laste van de verdachte is onder 1 en 2 overeenkomstig de tenlastelegging bewezenverklaard dat:

“1.

hij in de periode van 1 december 2008 tot en met 31 mei 2009 in Nederland en in Groot‑Brittannië tezamen en in vereniging met anderen, meermalen, telkens opzettelijk en wederrechtelijk met technische hulpmiddelen gegevens heeft afgetapt en heeft opgenomen die niet voor hem, verdachte, en zijn mededaders bestemd waren en die werden verwerkt of werden overgedragen door middel van een geautomatiseerd werk, immers hebben verdachte en zijn mededaders met behulp van zogenaamde downloadpassen en aangepaste kaartidentificatielezers (van ABN AMRO Bank) rekeningnummers en bijbehorende gegevens afgetapt en opgenomen;

2.

hij in de periode van 1 december 2008 tot en met 7 maart 2009 in Nederland en in Groot‑Brittannië, tezamen en in vereniging met een ander of anderen, meermalen, telkens met het oogmerk om opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens af te tappen of op te nemen die niet voor verdachte en zijn mededaders bestemd zijn en die worden verwerkt of overgedragen door middel van een geautomatiseerd werk, technische hulpmiddelen die hoofdzakelijk geschikt gemaakt of ontworpen waren tot het plegen van dat misdrijf heeft vervaardigd, immers hebben hij, verdachte, en zijn mededaders kaartidentificatielezers (zogenaamde e.dentifiers van ABN AMRO) en zogenaamde downloadpassen dusdanig gemodificeerd en/of geprogrammeerd en/of de hiertoe benodigde software ontworpen dat met behulp van deze kaartlezers en passen rekeningnummers en bijbehorende PIN gegevens (van ABN AMRO klanten) afgetapt en opgenomen werden, dan wel konden worden.”

2.2

Deze bewezenverklaring steunt onder meer op de bewijsmiddelen die zijn weergegeven in de conclusie van de Advocaat-Generaal onder 4.3. In cassatie zijn in het bijzonder de volgende bewijsmiddelen van belang:

“1. Een geschrift, te weten de schriftelijke aangifte van [betrokkene 3] namens ABN AMRO Bank N.V. van 13 mei 2009 (Algemeen dossier, pagina 63 e.v.).

Dit proces-verbaal houdt onder meer in de op bovengenoemde datum afgelegde verklaring van [betrokkene 3]:

In de periodes medio december 2008 tot en met medio februari 2009 en 28 maart tot en met heden werd ABN AMRO geconfronteerd met twee aanvallen van skimming, waarbij het zogenaamde Common Point of Purchase (CPP) niet kon worden vastgesteld.

(...)

Gelet op vorenstaande ontstond het vermoeden dat de daders op andere wijze dan middels het kopiëren van gegevens van de magneetstrip valse debitcards vervaardigden. Vermoedelijk werden de gegevens van de chip gekopieerd. De chip van een ABN AMRO debitcard wordt onder meer gebruikt bij het activeren van de debitcard in een bankshop, het gebruik van de chipknip en het inloggen voor Internetbankieren. In al deze gevallen wordt de pincode ingevoerd.

(...)

Naar aanleiding van de bevindingen uit het onderzoek van casus 1 t/m 9 en de melding van de in Londen aangetroffen identificatiekaartlezers ontstond het ernstige vermoeden dat de skimming plaatsvond middels gemanipuleerde ABN AMRO identificatiekaartlezers (e.dentifiers) op bankshops van ABN AMRO.

De benaming voor een identificatielezer ten behoeve van internetbankieren is bij ABN AMRO: e.dentifier. Middels een e.dentifier en een geactiveerde ABN AMRO debitcard met chip kan worden ingelogd in Internetbankieren. Naast de verstrekking van e.dentifiers aan cliënten voor thuisgebruik zijn alle bankshops voorzien van e.dentifiers ten behoeve van Internetbankieren op de bankshops. Deze e.dentifiers bevinden zich meestal nabij de voor internetbankieren bedoelde personal computers op de bankshop.

Op donderdag 7 mei 2009 werd telefonisch contact opgenomen met een aantal ABN AMRO bankshops waar de meeste benadeelde cliënten bankieren, met het verzoek de in de bankshop aanwezig e.dentifiers ten behoeve van Internetbankieren door cliënten per direct veilig te stellen. In totaal werden 35 e.dentifiers (zowel type 1 als 2) opgehaald.

Op vrijdag 8 mei 2009 werden de veiliggestelde e.dentifiers onderzocht op de aanwezigheid van technische voorzieningen ten behoeve van skimming. Hieruit bleek dat de bij de bankshop [a-straat 1] te [plaats] veiliggestelde e.dentifier 1 en twee van de bij de bankshop [b-straat 1] te [plaats] veiliggestelde e.dentifiers 1 voorzien waren van een technisch hulpmiddel met de kennelijke bedoeling om gegevens van de chip te kopiëren en de pincode vast te leggen. De technische voorzieningen waren in authentieke e.dentifiers 1 aangebracht. De voor- en achterzijde van de e.dentifiers waren na het aanbrengen van de technische voorzieningen met lijm weer aan elkaar bevestigd.

(...)

Alsook de bij deze aangifte behorende bijlage 4 (Algemeen dossier, p. 107 e.v.) voor zover inhoudende:

Toelichting op technische werking e.dentifier type 1:

Indien de klant wil aanloggen op Internet Bankieren vult de klant het rekeningnummer en pasvolgnummer in op de inlogpagina die via http://www.abnamro.nl wordt aangeboden. Internet Bankieren zal vervolgens een 8-cijferige random waarde aan de gebruiker presenteren, de zogenaamde challenge, die vervolgens op de e.dentifier dient te worden ingevoerd. De gebruiker steekt de debit card in de e.dentifier waarbij de chip contact maakt met de inwendige contactpunten in de e.dentifier. Dit contact maakt uitwisseling van data tussen de e.dentifier en de chip mogelijk. De gebruiker dient eerst de PIN behorende bij de pas in te voeren via de druktoetsen. Deze PIN wordt via de contacten aangeboden aan de chip waar via in het besloten gedeelte opgeslagen data de PIN-verificatie plaatsvindt. Indien de aangeboden PIN correct is zal de chip in correcte staat gebracht zijn om verdere dataoperaties uit te voeren. Indien de PIN niet correct is zal na drie pogingen de chip geblokkeerd voor gebruik raken. Nadat de klant een correcte PIN heeft ingevoerd, kan de klant de challenge via de druktoetsen invoeren. De e.dentifier zal deze vertalen naar een aanroep van de chip om de response via rekenkundige operaties te berekenen, wederom met data in het besloten gedeelte. Dit levert de response op, die 6-cijferig is. De klant voert deze response op de webpagina in, waarna binnen Internet Bankieren de door de klant ingevoerde response wordt vergeleken met de uit een identieke berekening verkregen controlewaarde. Indien deze getallen overeenkomen krijgt de gebruiker toegang tot Internet Bankieren.

(…)

9. Een proces-verbaal Technisch zaaksrelaas Aries d.d. 16 augustus 2010 met nr. 29127763 (Zaaksdossier Skimmen, p. 225 e.v.).

Dit proces-verbaal houdt onder meer in de op bovengenoemde datum afgelegde verklaring van [betrokkene 10]:

Een bankpas is meestal voorzien van twee informatiedragers, te weten een magneetstrip en een zogeheten Chip. De magneetstrip is al langere tijd aanwezig op bankpassen, de Chip is een recentere toevoeging. Om met behulp van een bankpas een transactie te kunnen doen, bijvoorbeeld geld pinnen, is een vorm van authenticatie nodig. Authenticatie stelt de bank in staat te controleren dat de pas door de rekening houder zelf gebruikt wordt, en niet door een derde, die de bankpas heeft bemachtigd. Voor de intrede van de Chip vond de authenticatie plaats door de magneetstrip gegevens te combineren met een PIN code die alleen bij de rekening houder zelf bekend is. Door zowel de gegevens op de magneetstrip als de PIN code aan de bank aan te bieden kan de bank controleren of de PIN code inderdaad hoort bij de magneetstrip gegevens op de bankpas. In Nederland wordt de authenticatie middels de magneetstrip nog veelvuldig gebruikt om geld te pinnen en te betalen in winkels. De Chip op de bankpas wordt in Nederland voornamelijk gebruikt voor de ChipKnip functie. Authenticatie met behulp van een magneetstrip is fraudegevoelig. Een magneetstrip is met vrij eenvoudige technische middelen te kopiëren, waardoor een bankpas kan worden gedupliceerd. Wanneer ook de PIN code wordt bemachtigd kunnen derden transacties uitvoeren via de bankrekening van de rekeninghouder. Deze vorm van fraude wordt skimming genoemd. Op de magneetstrip bevinden zich drie sporen waarop informatie kan worden opgeslagen. Deze sporen worden aangeduid als track-1, track-2 en track‑3. Om een werkend duplicaat te vervaardigen van een bankpas is alleen de track-2 data nodig.

Om fraude tegen te gaan en extra functionaliteit toe te voegen zijn bankpassen tegenwoordig uitgerust met de al eerder genoemde Chip. De Chip kan door automaten worden gebruikt in het authenticatieproces, in plaats van de magneetstrip. In tegenstelling tot het dupliceren van magneetstrips is het dupliceren van de Chip verre van eenvoudig. In Nederland wordt de magneetstrip nog steeds veelvuldig gebruikt. Sommige betaalautomaten zijn al wel in staat om de Chip te gebruiken in plaats van de magneetstrip. Omdat de computersystemen bij een aantal banken nog wel de gegevens op de magneetstrip nodig hebben, plaatsen deze banken een kopie van de magneetstrip gegevens in de Chip. De ABN AMRO is een van deze banken. Omdat wereldwijd nog niet alle bankpassen voorzien zijn van de Chip, worden bankpassen zonder Chip in diverse landen nog steeds geaccepteerd. Het is derhalve nog steeds mogelijk om geld van bankrekeningen te halen wanneer enkel de magneetstrip gegevens en de PIN code voorhanden zijn. De Chip op een bankpas is een eenvoudige microprocessor. Een microprocessor is een geavanceerde chip die in staat is om informatie te verwerken, enigszins vergelijkbaar met een computer. De Chip kan opdrachten ontvangen en reacties terugsturen. Deze opdrachten en reacties zijn gestandaardiseerd en vastgelegd in protocollen. De Chip op een bankpas wordt zodanig gefabriceerd dat het alleen kan communiceren op de manier die in deze protocollen is vastgelegd.

Er bestaat echter ook een soort Chip waarvan de werking naar believen kan worden aangepast. Hiertoe kan een computerprogramma in de Chip worden geplaatst. Dit computerprogramma is geschreven in de programmeertaal “Java”. Een pas die is voorzien van een programmeerbare Chip wordt daarom een Javacard genoemd. Het is mogelijk om een Javacard te voorzien van een computerprogramma dat een geheel nieuwe functionaliteit biedt en aan geen enkel protocol voldoet.

Op donderdag 7 mei 2009 heeft ABN AMRO opdracht gegeven alle e.dentifiers in een aantal webshops veilig te stellen. Vervolgens hebben medewerkers van ABN AMRO een aantal van de veiliggestelde e.dentifiers opengebroken, waarbij een deel bleek te zijn gemanipuleerd. De manipulatie bestond uit het aanbrengen van een chip, hierna mod chip genoemd.

(...)

ABN AMRO heeft van een gemodificeerde e.dentifier onderzocht hoe deze reageert op het insteken van een bankpas. Uit dit onderzoek bleek dat de mod chip daadwerkelijk de track-2 data opvraagt die in de Chip op de bankpas staat opgeslagen, en dat de bankpas deze track-2 data ook daadwerkelijk teruggeeft. De mod chip grijpt dus actief in op het vraag- en antwoord spel van de e.dentifier. Een originele e.dentifier vraagt namelijk nooit de track-2 data op, omdat deze niet nodig is voor authenticatie.

Op de computer van [medeverdachte] zijn meerdere broncode bestanden aangetroffen, geschreven in de programmeertalen “Assembly Language” en “Java”. Van een aantal van deze broncodes is gebleken dat deze bedoeld zijn voor het programmeren van chips van hetzelfde type als de mod chips die in de e.dentifiers gevonden zijn. Daarnaast bleken de broncode bestanden te zijn voorgeprogrammeerd om deel te nemen aan het vraag- en antwoord spel dat plaatsvindt in een e.dentifier. Bestudering van dit vraag- en antwoord spel toonde aan dat de track-2 data, die in de Chip op de ingestoken bankpas staat opgeslagen, wordt opgevraagd en dat het programma in de gaten houdt of er PIN codes worden ingetoetst. De track-2 data wordt vervolgens samen met de PIN code opgeslagen in de mod chip zelf. Op deze manier is een gemodificeerde e.dentifier in staat om zelfstandig track-2 data en PIN codes te verzamelen van iedereen die de e.dentifier gebruikt. De programmering in de broncode bestanden vertoont grote gelijkenis met het gedrag van de mod chips zoals door ABN AMRO is onderzocht. In een later stadium van het onderzoek zijn de computerprogramma's die in de mod chips zitten veiliggesteld en vergeleken met de aangetroffen broncode bestanden. De gelijkenis bleek opvallend. Er zijn meer details in de onderzoeksresultaten die sterke aanwijzingen geven dat de mod chips in de gemanipuleerde e.dentifiers zijn voorzien van de programmatuur die op de computer van [medeverdachte] is aangetroffen.

Er is ook onderzoek gedaan naar de manier waarop de verzamelde track-2 data en PIN codes weer uit de e.dentifier kunnen worden gehaald. Het blijkt dat hiervoor een speciale javacard is ontwikkeld.

Op de computer van [medeverdachte] is broncode aangetroffen, geschreven in de programmeertaal Java. Onderzoek van deze broncode heeft aangetoond dat deze broncode bedoeld is om javacards mee te programmeren, en dat deze javacards vervolgens kunnen deelnemen aan het vraag- en antwoordspel in een e.dentifier. De Java broncode bleek zelfs een “ChipKnip Saldo” functie te bevatten, waarmee het aantal opgeslagen track-2 gegevens kan worden opgevraagd. De Java broncode bleek ook een vraag- en antwoord spel te kunnen voeren dat precies aansluit bij de programmering van de mod chips, en dat dit vraag- en antwoordspel bedoeld is om gegevens te kopiëren van de mod chip naar de javacard. Het NFI heeft daadwerkelijk track-2 en PIN codes weten veilig te stellen welke waren opgeslagen op de twee in beslag genomen javacards. Deze gegevens bleken allen afkomstig van ABN AMRO klanten. (...)”

2.3

Het Hof heeft ten aanzien van de bewezenverklaring voorts het volgende overwogen:

“Inleiding

ABN AMRO Bank N.V. is in de periode van medio december 2008 tot en met mei 2009 geconfronteerd met aanvallen van skimming waarbij het zogenaamde Common Point of Purchase (de door de bank geregistreerde locatie van een specifieke geldautomaat of betaalautomaat) niet kon worden vastgesteld. Dit betekent dat de betreffende bankpassen niet zijn geskimd bij een reguliere geld- of betaalautomaat. Met gebruik van valse betaalpassen is vervolgens (wereldwijd) ten laste van rekeninghouders van ABN AMRO Bank geld afgeschreven.

Op 7 mei 2009 is het Team High Tech Crime in Nederland geïnformeerd door de Engelse Dedicated Cheque and Plastic Crime Unit (DCPCU) over een nieuwe methode van skimming, die aan het licht was gekomen na het aantreffen van een gemanipuleerde identificatiekaartlezer (een zogenaamde e-dentifier van ABN AMRO Bank) tijdens een huiszoeking in de woning van de medeverdachte [medeverdachte].

ABN AMRO Bank heeft in de ten laste gelegde periode haar klanten in staat gesteld om in haar zogeheten bankshops te internetbankieren met gebruikmaking van daartoe bij computers geplaatste e-dentifiers. Deze e-dentifiers dienden ter authenticatie en wel aldus dat een klant zijn of haar betaalpas in een dergelijke e-dentifier plaatste en vervolgens de pincode intoetste, waarna de eigenlijke authenticatie plaatsvond middels een zogeheten challenge-response procedure.

Uit nader onderzoek is het volgende gebleken.

Een medeverdachte, [medeverdachte], heeft in de ten laste gelegde periode meerdere e-dentifiers van de ABN AMRO Bank gemanipuleerd. Anderen hebben [medeverdachte] voorzien van originele e‑dentifiers van ABN AMRO Bank. Verdachte heeft [medeverdachte] van een originele ABN AMRO‑bankpas voorzien. [medeverdachte] heeft vervolgens in de originele e-dentifiers een extra printplaat met daarop een microcontroller aangebracht, waardoor gegevens konden worden onderschept. Het ging daarbij in het bijzonder om de zogenaamde track 2 gegevens. Deze gegevens bevinden zich op de magneetstrip van bankpassen en bevatten onder meer de rekeninggegevens en de versleutelde pincode behorende bij de betreffende bankpas. Telkens wanneer een klant van ABN AMRO Bank zijn of haar bankpas in een door [medeverdachte] gemanipuleerde e-dentifier plaatste, werden de track 2 gegevens onderschept door, en opgeslagen op de door [medeverdachte] vervaardigde microcontroller. [medeverdachte] heeft daarnaast ook zogenaamde downloadpassen geprogrammeerd. Op deze downloadpassen konden honderden track 2 gegevens in combinatie met pincodes worden opgeslagen. De downloadpassen waren zodanig geprogrammeerd dat deze de track 2 gegevens en pincodes die in een gemanipuleerde e-dentifier waren opgeslagen, konden uitlezen en wegschrijven naar c.q. opslaan in het geheugen op de downloadpas.

De gemanipuleerde e-dentifiers en downloadpassen zijn door [medeverdachte] aan anderen verstrekt, waaronder verdachte. Verdachte en deze anderen hebben vervolgens e-dentifiers in de ABN AMRO bankshops omgewisseld met de gemanipuleerde e-dentifiers. Nietsvermoedende klanten van de ABN AMRO bankshops konden vervolgens ogenschijnlijk ‘gewoon’ in de bankshop internetbankieren en hun transacties verrichten. Ondertussen werden de track 2 gegevens en pincode van hun betaalpassen afgevangen en opgeslagen in de gemanipuleerde e‑dentifier. Daarna hebben medeverdachten de opgeslagen gegevens volgens een door [medeverdachte] ontworpen werkwijze gekopieerd op de downloadpassen, door nogmaals naar de bankshops te gaan en daar de downloadpassen in de gemanipuleerde e-dentifier te plaatsen. Verdachte zorgde voor het vervoer en het contact met anderen binnen de skimorganisatie.

Uit het onderzoek blijkt voorts dat [medeverdachte] de downloadpassen zodanig had geprogrammeerd dat de opgeslagen gegevens werden versleuteld en alleen door hem konden worden gelezen. De van track 2 gegevens en pincodes voorziene downloadpassen werden door de medeverdachten bij [medeverdachte] bezorgd die de gegevens vervolgens heeft ontsleuteld. De aldus verkregen gegevens zijn gebruikt voor de vervaardiging van geprepareerde betaalpassen die [medeverdachte] weer ter beschikking heeft gesteld aan een of meer personen, die daarmee in staat waren bij geldautomaten geld op te nemen ten laste van de klanten van ABN AMRO Bank als waren zij daartoe bevoegd. Ook verdachte nam deel aan een actie waarbij met behulp van met de onrechtmatig verkregen gegevens vervaardigde valse betaalpassen in Italië werd ‘gecasht’.

Is een E-dentifier een geautomatiseerd werk?

De raadsman van verdachte heeft zich ter terechtzitting in hoger beroep op het standpunt gesteld dat de gemanipuleerde e-dentifiers (al dan niet in combinatie met een downloadpas) niet zijn aan te merken als geautomatiseerd werk in de zin van artikel 80sexies Sr. Daarnaast heeft de raadsman aangevoerd dat er geen sprake is van aftappen of opnemen van gegevens, nu een gemanipuleerde e-dentifier niet beschikt over enige digitale verbinding en derhalve geen gegevens die worden overgedragen kan aftappen of opnemen.

Het hof overweegt hieromtrent als volgt.

Artikel 80sexies Sr luidt als volgt: “Onder geautomatiseerd werk wordt verstaan, een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.”

Ingevolge de Wet computercriminaliteit II is de definitie van het begrip “geautomatiseerd werk” gewijzigd, in die zin dat de zinsnede ‘op te slaan en te verwerken’ is vervangen door ‘op te slaan, te verwerken en over te dragen’. De parlementaire wetsgeschiedenis houdt hieromtrent in:

“Dit onderdeel beoogt aan de definitie van een geautomatiseerd werk de overdrachtsfunctie toe te voegen. Deze functie is een wezenskenmerk van een geautomatiseerd werk, dat immers met name bestemd is om daarin opgeslagen of verwerkte gegevens aan de gebruiker terug te geven of aan een ander (computer-)systeem over te dragen.

De definitie spreekt van opslag, verwerking èn overdracht van gegevens. Het gaat hier om cumulatieve voorwaarden. Een inrichting die enkel bestemd is om gegevens over te dragen (een eenvoudig telefoontoestel, bepaalde zend- en ontvanginrichtingen) of op te slaan valt dus buiten de begripsomschrijving” (Kamerstukken II, 1998-1999, 26 671, nr. 3, p. 44).

Uit de wetsgeschiedenis volgt dat het begrip geautomatiseerd werk niet beperkt is tot apparaten die zelfstandig aan deze drievoudige eis kunnen voldoen. Ook netwerken bestaande uit computers en/of telecommunicatievoorzieningen heeft de wetgever onder het begrip ‘geautomatiseerd werk’ willen brengen (vgl. HR 26 maart 2013, rov. 2.5, ECLI:NL:HR:2013:BY9718).

Niet bestreden is dat de e-dentifiers bestemd zijn om langs elektronische weg gegevens te verwerken en over te dragen. Nadat contact is gemaakt met een betaalpas sturen zij immers gegevens/signalen naar de chip op de pas (de challenge), waarna de chip (door middel van gegevensvrijgave) en de gebruiker (d.m.v. invoer van de pin) antwoorden. Daarna vergelijkt (verwerkt) de e-dentifier deze gegevens en genereert de e-dentifier indien juiste gegevens zijn ingevoerd een 8-cijferige code (de response) en voert deze uit naar zijn LED-scherm. De e‑dentifiers hebben echter op zichzelf niet ook als functionaliteit dat zij ook gegevens kunnen opslaan.

Uit de aangifte en technische rapportages blijkt echter dat een e-dentifier na de manipulatie door de medeverdachte [medeverdachte] óók over een opslagfunctie beschikt, en dat deze ook extra verwerkings- (dat wil zeggen: de e-dentifier leest track-2 gegevens en de pincode van de chip en plaatst deze gegevens op een aparte geheugenplaats) en overdrachtsfuncties (na invoeren van een code op de e-dentifier worden de op de aparte geheugenplaats opgeslagen gegevens overgedragen naar een downloadkaart) heeft gekregen.

Gelet op het voorgaande komt het hof tot de conclusie dat de gemanipuleerde e-dentifiers zijn aan te merken als geautomatiseerd werk. Daarnaast kan worden vastgesteld dat de gemanipuleerde e-dentifiers de track 2 gegevens en de pincode van een betaalpas opslaan op een aparte geheugenplaats, en derhalve deze gegevens opnemen.

Het verweer wordt daarom verworpen.”

2.4

Blijkens het proces-verbaal van de terechtzitting in hoger beroep van 19 december 2017 heeft de raadsman van de verdachte aldaar het woord gevoerd overeenkomstig de aan het proces-verbaal gehechte pleitnota. Deze pleitnota houdt onder meer in:

“Feit 1. en 2.

Artikel 139c Wetboek van Strafrecht is niet van toepassing; er is niet afgetapt of opgenomen.

De officier van justitie heeft ten laste gelegd het verkrijgen van gegevens uit aangepaste e.dentifiers middels het stoppen zogenaamde downloadpassen in die e.dentifiers.

Nadat bij pleidooi was aangevoerd dat een dergelijke e.dentifier niet als een geautomatiseerd werk kan worden beschouwd, heeft de officier van justitie zich bij repliek op het consistente en kraakheldere standpunt gesteld dat een e.dentifier als zodanig is aan te merken.

Echter, ten onrechte want aan een e.dentifier is niets geautomatiseerds te vinden. Het is een los kastje zonder enige (digitale) verbinding. Cliënt heeft derhalve niet gedaan hetgeen het Openbaar Ministerie hem zeer expliciet ten laste heeft gelegd.”

3. Beoordeling van het vierde middel

3.1

Het middel komt op tegen de bewezenverklaring van het onder 1 en 2 tenlastegelegde.

3.2

De tenlastelegging onder 1 is toegesneden op art. 139c Sr. De tenlastelegging onder 2 is toegesneden op art. 139d Sr. Daarom moeten de in de tenlastelegging en bewezenverklaring voorkomende termen ‘geautomatiseerd werk’, ‘afgetapt’, ‘opgenomen’, ‘af te tappen’ en ‘op te nemen’ geacht worden aldaar te zijn gebezigd in dezelfde betekenis als toekomt aan de termen ‘geautomatiseerd werk’, ‘aftapt’ en ‘opneemt’ in art. 139c Sr.

3.3.1

In cassatie zijn de volgende bepalingen van belang, zoals deze luidden ten tijde van het bewezenverklaarde:

- art. 80sexies Sr:

“Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.”

- art. 139c, eerste lid, Sr:

“Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.”

- art. 139d, eerste en tweede lid, Sr:

“1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die met het oogmerk dat daardoor een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk wederrechtelijk wordt afgeluisterd, afgetapt of opgenomen, een technisch hulpmiddel op een bepaalde plaats aanwezig doet zijn.

2. Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138a, eerste lid, 138b of 139c wordt gepleegd:

a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft; (...)”

3.3.2

De memorie van toelichting bij het wetsvoorstel dat heeft geleid tot de Wet van 1 juni 2006, Stb. 2006, 300 (computercriminaliteit II), waarbij de art. 80sexies, 139c en 139d van het Wetboek van Strafrecht zijn komen te luiden als hiervoor onder 3.3.1 weergegeven, houdt onder meer het volgende in:

“Door technologische ontwikkelingen is het onderscheid tussen in een computer opgeslagen gegevens en gegevens die in een proces zijn van verwerking of overdracht tussen computers (stromende gegevens) niet steeds helder. Aangegeven wordt waarom dit onderscheid niettemin, met name uit een oogpunt van precieze omschrijving van strafbare feiten en strafvorderlijke bevoegdheden, noodzakelijk is. Met het oog op de rechtszekerheid worden een groot aantal terminologische verduidelijkingen voorgesteld.

(...)

Verder dient voorop te staan dat het in het strafrecht zo centrale legaliteitsbeginsel eist dat zowel strafbepalingen als strafvorderlijke bevoegdheden zo nauwkeurig mogelijk worden omschreven. Reeds op grond van dit uitgangspunt ben ik geen voorstander van het loslaten van de thans onderscheiden termen als «opgeslagen», «overdragen», «vastleggen», «aftappen of opnemen».

(...)

Hiermee is nog niet gezegd dat sprake is van een fundamenteel onderscheid (tussen opgeslagen gegevens en gegevens in transport), dat als het ware het hele strafrecht doortrekt. Per situatie moet de wetgever bezien wat hij strafbaar wil stellen dan wel waartoe hij een opsporingsambtenaar of een andere autoriteit bevoegd wil maken (heeft het betrekking op opgeslagen gegevens of op gegevens in transport of op beide?) en daarop zijn terminologie afstemmen. Dit is in dit wetsvoorstel geschied en heeft geleid tot een aantal aanpassingen van bepalingen uit beide wetboeken, die hieronder worden toegelicht.

(...)

Waar het gaat om reeds bestaande, in een computer opgeslagen gegevens, wordt in dit wetsvoorstel de term «opgeslagen» gehanteerd, waar het gaat om stromende gegevens de termen «(worden) verwerkt of overgedragen». Maakt het niet uit of het gaat om opgeslagen gegevens dan wel om stromende gegevens, dan wordt de trits «(zijn) opgeslagen, (worden) verwerkt of overgedragen» gebruikt. (...) De termen «verwerken» en «overdragen» overlappen elkaar ten dele. Waar «overdragen» echter ziet op het transport van A naar B, omvat «verwerken» daarnaast ook bewerkingen van gegevens binnen één computer.

(...)

Gehandhaafd blijven verder de termen «aftappen of opnemen». Deze hebben in de strafwet reeds een min of meer vastomlijnde betekenis en worden gebruikt voor het onderscheppen en vastleggen van stromende gegevens (vgl. artikelen 125g Sv en 139a e.v. Sr). In het wetsvoorstel wordt deze terminologie voortgezet. Ter onderscheiding van «aftappen of opnemen» wordt waar het gaat om het kopiëren van bestaande, opgeslagen gegevens, de term «overnemen» gebruikt. De termen «kennisnemen» en «vastleggen», tot slot, worden in neutrale zin gebruikt en kunnen zowel op opgeslagen als op stromende gegevens betrekking hebben.

(...)

In het materiële strafrecht blijkt het onderscheid tussen opgeslagen en stromende gegevens niet steeds even relevant en maakt het niet wezenlijk uit of een bepaalde (strafwaardige) handeling plaatsvindt ten aanzien van het een of het ander. Een belangrijke uitzondering wordt gevormd door de artikelen 139a e.v. Sr, die straf stellen op overtreding van de zogenaamde aftap- en opneemverboden: deze strafbepalingen zijn en blijven in dit voorstel gereserveerd voor het onderscheppen van gegevens in transport. Het is onnodig om deze bepalingen uit te breiden tot het (met een technisch hulpmiddel) overnemen of kopiëren van in computers opgeslagen gegevens omdat dit reeds omvat wordt door de strafbaarstelling van computervredebreuk (gevolgd door het overnemen van in de computer aanwezige gegevens, zie artikel 138a, tweede lid, Sr).

(...)

F tot en met I

De artikelen 139a tot en met 139e Sr stellen het met een technisch hulpmiddel afluisteren, aftappen of opnemen van gesprekken en ander gegevensverkeer alsmede enkele daarmee samenhangende gedragingen strafbaar. In de onderdelen F tot en met I worden in deze artikelen enkele terminologische verbeteringen aangebracht, waarbij ze onder andere tekstueel beter op elkaar worden afgestemd. In de artikelen 139a, tweede lid, 139b, tweede lid, en 139c, eerste lid, wordt het woord «opzettelijk» naar voren gehaald. (...) Verder wordt daar waar in de artikelen 139a tot en met 139e slechts sprake is van (het aftappen of opnemen van) gegevens die door middel van een geautomatiseerd werk worden overgedragen, ook genoemd het aftappen of opnemen van de geautomatiseerde gegevensverwerking.

Zoals (...) aangegeven zijn «overdragen» en «verwerken» elkaar deels overlappende begrippen, maar omvat de laatste term ook gegevensverwerkingen door of binnen een computer waarbij geen sprake is van het transport van die gegevens van A naar B.”

(Kamerstukken II 1998/99, 26 671, nr. 3, p. 3, 27-28 en 45)

3.4

Het Hof heeft het volgende vastgesteld. De verdachte en zijn mededaders hebben identificatiekaartlezers, zogenaamde e.dentifiers, van de ABN AMRO Bank gemanipuleerd, in die zin dat zij in de originele e.dentifiers een extra printplaat met daarop een microcontroller - een zogenoemde mod chip - hebben aangebracht. Zo’n identificatiekaartlezer is onderdeel van het proces waarmee de klant van een bank bancaire transacties via het internet kan verrichten. De klant steekt daartoe zijn bankpas in de identificatiekaartlezer en voert de PIN behorende bij de pas in. Vervolgens vindt de PIN‑verificatie plaats en indien de aangeboden PIN correct is, wordt de chip op de bankkaart in correcte staat gebracht om de bancaire transacties te verrichten.
De manipulatie bestond erin dat door het aanbrengen van de extra printplaat met microcontroller in de identificatiekaartlezers, op het moment dat in verband met het authenticatieproces van Internet Bankieren daarin een bankpas werd geplaatst, actief werd ingegrepen op het vraag- en antwoordspel van de identificatiekaartlezer. Daarbij konden gegevens - waaronder de rekeninggegevens en (versleutelde) pincodes behorende bij die bankpassen - worden opgevraagd en onderschept en vervolgens opgeslagen. Met behulp van zogeheten downloadpassen konden daarna die gegevens worden zichtbaar gemaakt en gebruikt voor het vervaardigen van geprepareerde betaalpassen.

3.5.1

Het middel klaagt ten eerste over het onder 1 en 2 bewezenverklaarde voor zover inhoudende dat de verdachte en zijn mededaders hebben gehandeld door middel van een ‘geautomatiseerd werk’.

3.5.2

Een inrichting kan alleen als een ‘geautomatiseerd werk’ als bedoeld in de onder 3.3.1 genoemde bepalingen worden aangemerkt indien zij geschikt is om drie functies te vervullen, te weten opslag, verwerking en overdracht van gegevens. Dat begrip ‘geautomatiseerd werk’ is echter niet beperkt tot apparaten die zelfstandig aan deze drievoudige eis voldoen. Daaronder vallen ook netwerken bestaande uit computers en/of telecommunicatievoorzieningen, evenals delen van zulke geautomatiseerde werken. (Vgl. HR 26 maart 2013, ECLI:NL:HR:2013:BY9718.)

3.5.3

Het oordeel van het Hof dat de verdachte en zijn mededaders handelingen hebben verricht met betrekking tot gegevens die werden verwerkt of overgedragen door middel van een ‘geautomatiseerd werk’, geeft niet blijk van een onjuiste rechtsopvatting. Mede door middel van de identificatiekaartlezers, die authenticatie en uitwisseling van mede op rekeninggegevens en pincodes gebaseerde (challenge- en response)cijfercodes met het Internet Bankieren-systeem van ABN AMRO mogelijk maakten ten behoeve van digitale bancaire transacties en die daarmee deel uitmaakten van dat systeem, vond immers opslag, verwerking en overdracht van onder meer identificerende gegevens plaats als onderdeel van die transacties. Dat oordeel is ook niet onbegrijpelijk en, mede in het licht van wat namens de verdachte is aangevoerd, toereikend gemotiveerd. Voor zover het middel hierover klaagt, faalt het.

3.6.1

Het middel klaagt voorts over de bewezenverklaring van het onder 1 tenlastegelegde, voor zover deze inhoudt dat de verdachte en zijn mededaders gegevens hebben “afgetapt en opgenomen”.

3.6.2

Uit de hiervoor onder 3.3.2 weergegeven wetsgeschiedenis volgt dat de in art. 139c Sr opgenomen termen ‘aftapt’ en ‘opneemt’ zien op het onderscheppen en vastleggen van stromende gegevens, dat wil zeggen gegevens die in een proces zijn van verwerking en overdracht. Het vastleggen van opgeslagen gegevens valt niet aan te merken als aftappen of opnemen in de zin van art. 139c Sr, maar als het ‘overnemen’ van gegevens.

3.6.3

Het Hof heeft geoordeeld dat de verdachte en zijn mededaders gegevens hebben “afgetapt en opgenomen” doordat binnen het digitale proces van Internet Bankieren actief werd ingegrepen op het vraag- en antwoordspel van de identificatiekaartlezer waarbij door de gemodificeerde chip rekeninggegevens werden opgevraagd die in reactie daarop werden overgedragen door de chip in de bankpas alsmede de bij dat vraag- en antwoordspel door de gebruiker ingetoetste PIN werd onderschept. Dat oordeel getuigt niet van een onjuiste rechtsopvatting en is - in het licht van de gebezigde bewijsvoering en gelet op wat namens de verdachte is aangevoerd - ook niet onbegrijpelijk
. Daaraan doet niet af de enkele omstandigheid dat tijdens het voornoemde proces een of meer digitale verwerkingen plaatsvonden die separaat beschouwd ook als het ‘overnemen’ van de gegevens zouden kunnen worden aangemerkt. Ook voor zover het middel hierover klaagt, faalt het.

4. Beoordeling van het zevende middel

4.1

Het middel klaagt dat de redelijke termijn als bedoeld in art. 6, eerste lid, EVRM in de cassatiefase is overschreden omdat de stukken te laat door het Hof zijn ingezonden.

4.2

Het middel is gegrond. Dit moet leiden tot vermindering van de aan de verdachte opgelegde gevangenisstraf van 22 maanden, waarvan 12 maanden voorwaardelijk met een proeftijd van 2 jaren.

5. Beoordeling van de middelen voor het overige

De middelen kunnen voor het overige niet tot cassatie leiden. Dit behoeft, gezien art. 81, eerste lid, RO, geen nadere motivering nu de middelen in zoverre niet nopen tot beantwoording van rechtsvragen in het belang van de rechtseenheid of de rechtsontwikkeling.

6. Beslissing

De Hoge Raad:

- vernietigt de bestreden uitspraak, maar uitsluitend wat betreft de duur van de opgelegde gevangenisstraf;

- vermindert deze in die zin dat deze 21 maanden en 2 weken, waarvan 12 maanden voorwaardelijk met een proeftijd van 2 jaren beloopt;

- verwerpt het beroep voor het overige.

Dit arrest is gewezen door de vice-president W.A.M. van Schendel als voorzitter, en de raadsheren Y. Buruma, M.J. Borgers, M.T. Boerlage en A.E.M. Röttgering, in bijzijn van de waarnemend griffier H.J.S. Kea, en uitgesproken ter openbare terechtzitting van
17 december 2019 .