Blog

Cybercrime: nieuwe richtlijn voor straffen

Binnen vijf jaar zal vijftig procent van alle strafrechtszaken in Nederland gaan over internetcriminaliteit, zegt hoogleraar digitale veiligheid Bart Jacobs in De Gelderlander. Het Ministerie van Justitie onderschrijft de voorspelling. En dat voorspelt niet veel goeds. Gerrit van der Burg, voorzitter van het college van procureurs-generaal van het Openbaar Ministerie, heeft in september 2017 nog gezegd dat het OM de internetcriminaliteit in Nederland moeilijk kan bijhouden.

Cybercrime plegen is makkelijk

Vooral DDoS-aanvallen en hacken belasten het rechtsapparaat flink. Enerzijds wordt cybercrime steeds gemakkelijker. Zo zijn steeds meer voorwerpen aangesloten op het internet (Internet of Things, IoT) die gegevens kunnen uitwisselen. Dit brengt kansen voor criminelen en daarmee veiligheidsrisico’s voor burgers, bedrijven en overheidspartijen met zich mee.

Vervolging cybercrime is moeilijk

Anderzijds wordt vervolging steeds moeilijker: het aantal gevallen van cybercrime blijft toenemen. Computers worden niet enkel als middel ingezet, maar ook als target voor aanvallen. Cybercriminelen hebben technologische mogelijkheden om in korte tijd vanaf elke plek ter wereld grote aantallen slachtoffers maken. Daardoor spelen ook internationale aspecten een rol. Bovendien kan het gebruik van encryptie opsporing lastig maken.

Strafoplegging aangepakt

Het aanpakken van computercriminaliteit is dus bijzonder lastig. Daarbij speelt ook mee dat het opleggen van een straf nog geen sinecure was. Tot nu toe keek de Officier van Justitie bij het opleggen van de straf naar de geleden schade, of er slachtoffers zijn, en eventuele eerdere rechtspraak.

Om een veilig digitaal domein te creëren en effectief tegen cybercrime te kunnen optreden, is een zichtbare, integrale en toekomstgerichte aanpak nodig. Daarom heeft het OM nieuwe richtlijnen ingesteld voor de officier van justitie. Daarmee kan makkelijker een straf bepaald worden voor cybercrime vergrijpen.

De richtlijn – juridisch te kwalificeren als een aanwijzing (artikel 130, lid 6 Wet RO) – ziet op de verschillende verschijningsvormen van cybercrime, zoals computervredebreuk (“hacking”), DDoS-aanvallen, ransomware, malware en defacing, maar ook smaad en laster. Daarbij wordt een onderscheid gemaakt tussen de volgende situaties:

  • Cybercrime in de relatiesfeer (ex-partners, ex-werknemers, etc.)
  • Cybercrime met als oogmerk diefstal van vermogen (diefstal internetbankieren, art. 139d Sr, crypto/ransomware)
  • Cybercrime met als oogmerk het overnemen van gegevens ((bedrijfs)spionage, tentamenfraude, etc)
  • Cybercrime met een ideologisch (maar niet terroristisch) oogmerk (DDos, art. 350a Sr, defacing)

cybercrime

De richtlijn luidt als volgt:

Cybercrime, alleen en eenmalig gepleegd.

Cybercrime in relatiesfeer (ex-partners, ex-werknemers, etc.) first offender 1x recidive*
Inbreken in een (social media of mail) account of (bedrijfs)server (art. 138ab Sr) taakstraf 20 – 80 uur taakstraf 30 – 120 uur en een voorwaardelijke gevangenisstraf
Wijzigen wachtwoorden/ ontoegankelijke maken van gegevens (art. 350a Sr) taakstraf 20 – 100 uur taakstraf 30 – 150 uur en een voorwaardelijke gevangenisstraf
Verwijderen / ontoegankelijk maken van gegevens/ toevoegen van gegevens (art. 350a Sr / 138ab Sr) taakstraf 20 – 120 uur taakstraf 30 – 180 uur en een voorwaardelijke gevangenisstraf
DDoS aanval met beperkte impact** (art. 138b Sr) taakstraf 60 uur taakstraf 90 uur
Het versturen van een smadelijk/lasterlijk bericht vanuit het account van je (ex-)partner (smaad en computervredebreuk) taakstraf 120 uur taakstraf 180 uur en een voorwaardelijke gevangenisstraf

Cybercrime met oogmerk diefstal vermogen

(diefstal internetbankieren, art. 139d Sr, crypto/ransomware)

first offender

1x recidive*

Diefstal internetbankieren (art. 311 Sr / 138ab Sr)

–       tot  € 10.000,-

taakstraf tot 120 uur/ gevangenisstraf 1 week tot 2 maanden gevangenisstraf 10 weken tot 4 maanden
–       van € 10.000,- t/m € 100.000,- taakstraf vanaf 120 uur/ gevangenisstraf 2 tot 5 maanden gevangenisstraf 4 maanden tot 6 maanden
–       meer dan € 100.000,- gevangenisstraf vanaf 5 maanden gevangenisstraf vanaf 7 maanden
Voorhanden hebben van malware / wachtwoorden / inloggegevens (art. 139d lid 2 sub a en b Sr) gevangenisstraf 2 weken gevangenisstraf 3 weken
Gebruik van crypto- en ransomware (art. 326/284 Sr) gevangenisstraf 3 maanden gevangenisstraf 4 maanden
Hacken van een server ten behoeve van b.v. phishen (art. 138ab Sr) gevangenisstraf 1 maand gevangenisstraf 6 weken

Cybercrime met oogmerk overnemen gegevens

((bedrijfs)spionage, tentamenfraude, etc)

first offender

1x recidive*

Inbreken in account met het oogmerk gegevens over te nemen (art. 138ab Sr) gevangenisstraf 2 maanden gevangenisstraf 3 maanden
Het voorhanden hebben van malware (art. 139d lid 2 sub a en b SR) gevangenisstraf 1 maand gevangenisstraf 6 weken

Cybercrime met ideologisch (niet zijnde terroristisch) oogmerk (DDos, art. 350a Sr, defacing)

first offender

1x recidive*

Defacen website (art. 350a Sr) taakstraf 60 uur taakstraf 90 uur en een voorwaardelijke gevangenisstraf
DDoS aanval met beperkte impact** (art. 138b Sr) taakstraf 60 uur taakstraf 90 uur
Bijzonderheden

Uitgangspunt is dat de dader de schade vergoedt.

Strafverzwarende/verminderende factoren o.a.:

–       gebruik malware

–       schade / herstel

–       aard van gegevens

–       kwetsbaar slachtoffer

–          verbeurdverklaring computers/gegevensdragers

–       meermalen recidive (maatwerk)

* Let op evt. taakstrafverbod (art. 22b Sr)

** De impact is afhankelijk van de financiële schade en in hoeverre diensten zijn getroffen.

Cybercrime, meermalen gepleegd, veelal in georganiseerd verband en in combinatie met andere strafbare feiten

Cybercrime met oogmerk diefstal vermogen

(diefstal internetbankieren, art. 139d Sr,

crypto/ransomware)

first offender

1x recidive

Medeplegen van diefstal met valse sleutel en computervredebreuk, bestaande uit het inloggen op een bankrekening en het vervolgens overmaken van geld naar rekening van derde(n), met inloggegevens waartoe dader niet gerechtigd was. Meestal zijn de inloggegevens (deels) verkregen dmv phishing en/of malware (art. 138ab/139d/311/326/420bis Sr) gevangenisstraf 3 jaar gevangenisstraf 4 jaar
Grootschalige ransomware-campagne gevangenisstraf 3 jaar gevangenisstraf 4 jaar
Bijzonderheden

Uitgangspunt is dat de dader de schade vergoedt.

Strafverzwarende/verminderende factoren o.a.:

–       Mate van inbreuk op de privacy van het slachtoffer

–       Aantal slachtoffers

–       Mate van georganiseerdheid

–       Hoogte schade

–       meermalen recidive (maatwerk)

 

De Richtlijn voor strafvordering cybercrime (2018R001) is hier te raadplegen.

Gerelateerde berichten