2.1
Ten laste van de verdachte is onder 1 en 2 overeenkomstig de tenlastelegging bewezenverklaard dat:
“1.
hij in de periode van 1 december 2008 tot en met 31 mei 2009 in Nederland en in Groot‑Brittannië tezamen en in vereniging met anderen, meermalen, telkens opzettelijk en wederrechtelijk met technische hulpmiddelen gegevens heeft afgetapt en heeft opgenomen die niet voor hem, verdachte, en zijn mededaders bestemd waren en die werden verwerkt of werden overgedragen door middel van een geautomatiseerd werk, immers hebben verdachte en zijn mededaders met behulp van zogenaamde downloadpassen en aangepaste kaartidentificatielezers (van ABN AMRO Bank) rekeningnummers en bijbehorende gegevens afgetapt en opgenomen;
2.
hij in de periode van 1 december 2008 tot en met 7 maart 2009 in Nederland en in Groot‑Brittannië, tezamen en in vereniging met een ander of anderen, meermalen, telkens met het oogmerk om opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens af te tappen of op te nemen die niet voor verdachte en zijn mededaders bestemd zijn en die worden verwerkt of overgedragen door middel van een geautomatiseerd werk, technische hulpmiddelen die hoofdzakelijk geschikt gemaakt of ontworpen waren tot het plegen van dat misdrijf heeft vervaardigd, immers hebben hij, verdachte, en zijn mededaders kaartidentificatielezers (zogenaamde e.dentifiers van ABN AMRO) en zogenaamde downloadpassen dusdanig gemodificeerd en/of geprogrammeerd en/of de hiertoe benodigde software ontworpen dat met behulp van deze kaartlezers en passen rekeningnummers en bijbehorende PIN gegevens (van ABN AMRO klanten) afgetapt en opgenomen werden, dan wel konden worden.”
2.2
Deze bewezenverklaring steunt onder meer op de bewijsmiddelen die zijn weergegeven in de conclusie van de Advocaat-Generaal onder 4.3. In cassatie zijn in het bijzonder de volgende bewijsmiddelen van belang:
“1. Een geschrift, te weten de schriftelijke aangifte van [betrokkene 3] namens ABN AMRO Bank N.V. van 13 mei 2009 (Algemeen dossier, pagina 63 e.v.).
Dit proces-verbaal houdt onder meer in de op bovengenoemde datum afgelegde verklaring van [betrokkene 3]:
In de periodes medio december 2008 tot en met medio februari 2009 en 28 maart tot en met heden werd ABN AMRO geconfronteerd met twee aanvallen van skimming, waarbij het zogenaamde Common Point of Purchase (CPP) niet kon worden vastgesteld.
Gelet op vorenstaande ontstond het vermoeden dat de daders op andere wijze dan middels het kopiëren van gegevens van de magneetstrip valse debitcards vervaardigden. Vermoedelijk werden de gegevens van de chip gekopieerd. De chip van een ABN AMRO debitcard wordt onder meer gebruikt bij het activeren van de debitcard in een bankshop, het gebruik van de chipknip en het inloggen voor Internetbankieren. In al deze gevallen wordt de pincode ingevoerd.
Naar aanleiding van de bevindingen uit het onderzoek van casus 1 t/m 9 en de melding van de in Londen aangetroffen identificatiekaartlezers ontstond het ernstige vermoeden dat de skimming plaatsvond middels gemanipuleerde ABN AMRO identificatiekaartlezers (e.dentifiers) op bankshops van ABN AMRO.
De benaming voor een identificatielezer ten behoeve van internetbankieren is bij ABN AMRO: e.dentifier. Middels een e.dentifier en een geactiveerde ABN AMRO debitcard met chip kan worden ingelogd in Internetbankieren. Naast de verstrekking van e.dentifiers aan cliënten voor thuisgebruik zijn alle bankshops voorzien van e.dentifiers ten behoeve van Internetbankieren op de bankshops. Deze e.dentifiers bevinden zich meestal nabij de voor internetbankieren bedoelde personal computers op de bankshop.
Op donderdag 7 mei 2009 werd telefonisch contact opgenomen met een aantal ABN AMRO bankshops waar de meeste benadeelde cliënten bankieren, met het verzoek de in de bankshop aanwezig e.dentifiers ten behoeve van Internetbankieren door cliënten per direct veilig te stellen. In totaal werden 35 e.dentifiers (zowel type 1 als 2) opgehaald.
Op vrijdag 8 mei 2009 werden de veiliggestelde e.dentifiers onderzocht op de aanwezigheid van technische voorzieningen ten behoeve van skimming. Hieruit bleek dat de bij de bankshop [a-straat 1] te [plaats] veiliggestelde e.dentifier 1 en twee van de bij de bankshop [b-straat 1] te [plaats] veiliggestelde e.dentifiers 1 voorzien waren van een technisch hulpmiddel met de kennelijke bedoeling om gegevens van de chip te kopiëren en de pincode vast te leggen. De technische voorzieningen waren in authentieke e.dentifiers 1 aangebracht. De voor- en achterzijde van de e.dentifiers waren na het aanbrengen van de technische voorzieningen met lijm weer aan elkaar bevestigd.
Alsook de bij deze aangifte behorende bijlage 4 (Algemeen dossier, p. 107 e.v.) voor zover inhoudende:
Toelichting op technische werking e.dentifier type 1:
Indien de klant wil aanloggen op Internet Bankieren vult de klant het rekeningnummer en pasvolgnummer in op de inlogpagina die via http://www.abnamro.nl wordt aangeboden. Internet Bankieren zal vervolgens een 8-cijferige random waarde aan de gebruiker presenteren, de zogenaamde challenge, die vervolgens op de e.dentifier dient te worden ingevoerd. De gebruiker steekt de debit card in de e.dentifier waarbij de chip contact maakt met de inwendige contactpunten in de e.dentifier. Dit contact maakt uitwisseling van data tussen de e.dentifier en de chip mogelijk. De gebruiker dient eerst de PIN behorende bij de pas in te voeren via de druktoetsen. Deze PIN wordt via de contacten aangeboden aan de chip waar via in het besloten gedeelte opgeslagen data de PIN-verificatie plaatsvindt. Indien de aangeboden PIN correct is zal de chip in correcte staat gebracht zijn om verdere dataoperaties uit te voeren. Indien de PIN niet correct is zal na drie pogingen de chip geblokkeerd voor gebruik raken. Nadat de klant een correcte PIN heeft ingevoerd, kan de klant de challenge via de druktoetsen invoeren. De e.dentifier zal deze vertalen naar een aanroep van de chip om de response via rekenkundige operaties te berekenen, wederom met data in het besloten gedeelte. Dit levert de response op, die 6-cijferig is. De klant voert deze response op de webpagina in, waarna binnen Internet Bankieren de door de klant ingevoerde response wordt vergeleken met de uit een identieke berekening verkregen controlewaarde. Indien deze getallen overeenkomen krijgt de gebruiker toegang tot Internet Bankieren.
9. Een proces-verbaal Technisch zaaksrelaas Aries d.d. 16 augustus 2010 met nr. 29127763 (Zaaksdossier Skimmen, p. 225 e.v.).
Dit proces-verbaal houdt onder meer in de op bovengenoemde datum afgelegde verklaring van [betrokkene 10]:
Een bankpas is meestal voorzien van twee informatiedragers, te weten een magneetstrip en een zogeheten Chip. De magneetstrip is al langere tijd aanwezig op bankpassen, de Chip is een recentere toevoeging. Om met behulp van een bankpas een transactie te kunnen doen, bijvoorbeeld geld pinnen, is een vorm van authenticatie nodig. Authenticatie stelt de bank in staat te controleren dat de pas door de rekening houder zelf gebruikt wordt, en niet door een derde, die de bankpas heeft bemachtigd. Voor de intrede van de Chip vond de authenticatie plaats door de magneetstrip gegevens te combineren met een PIN code die alleen bij de rekening houder zelf bekend is. Door zowel de gegevens op de magneetstrip als de PIN code aan de bank aan te bieden kan de bank controleren of de PIN code inderdaad hoort bij de magneetstrip gegevens op de bankpas. In Nederland wordt de authenticatie middels de magneetstrip nog veelvuldig gebruikt om geld te pinnen en te betalen in winkels. De Chip op de bankpas wordt in Nederland voornamelijk gebruikt voor de ChipKnip functie. Authenticatie met behulp van een magneetstrip is fraudegevoelig. Een magneetstrip is met vrij eenvoudige technische middelen te kopiëren, waardoor een bankpas kan worden gedupliceerd. Wanneer ook de PIN code wordt bemachtigd kunnen derden transacties uitvoeren via de bankrekening van de rekeninghouder. Deze vorm van fraude wordt skimming genoemd. Op de magneetstrip bevinden zich drie sporen waarop informatie kan worden opgeslagen. Deze sporen worden aangeduid als track-1, track-2 en track‑3. Om een werkend duplicaat te vervaardigen van een bankpas is alleen de track-2 data nodig.
Om fraude tegen te gaan en extra functionaliteit toe te voegen zijn bankpassen tegenwoordig uitgerust met de al eerder genoemde Chip. De Chip kan door automaten worden gebruikt in het authenticatieproces, in plaats van de magneetstrip. In tegenstelling tot het dupliceren van magneetstrips is het dupliceren van de Chip verre van eenvoudig. In Nederland wordt de magneetstrip nog steeds veelvuldig gebruikt. Sommige betaalautomaten zijn al wel in staat om de Chip te gebruiken in plaats van de magneetstrip. Omdat de computersystemen bij een aantal banken nog wel de gegevens op de magneetstrip nodig hebben, plaatsen deze banken een kopie van de magneetstrip gegevens in de Chip. De ABN AMRO is een van deze banken. Omdat wereldwijd nog niet alle bankpassen voorzien zijn van de Chip, worden bankpassen zonder Chip in diverse landen nog steeds geaccepteerd. Het is derhalve nog steeds mogelijk om geld van bankrekeningen te halen wanneer enkel de magneetstrip gegevens en de PIN code voorhanden zijn. De Chip op een bankpas is een eenvoudige microprocessor. Een microprocessor is een geavanceerde chip die in staat is om informatie te verwerken, enigszins vergelijkbaar met een computer. De Chip kan opdrachten ontvangen en reacties terugsturen. Deze opdrachten en reacties zijn gestandaardiseerd en vastgelegd in protocollen. De Chip op een bankpas wordt zodanig gefabriceerd dat het alleen kan communiceren op de manier die in deze protocollen is vastgelegd.
Er bestaat echter ook een soort Chip waarvan de werking naar believen kan worden aangepast. Hiertoe kan een computerprogramma in de Chip worden geplaatst. Dit computerprogramma is geschreven in de programmeertaal “Java”. Een pas die is voorzien van een programmeerbare Chip wordt daarom een Javacard genoemd. Het is mogelijk om een Javacard te voorzien van een computerprogramma dat een geheel nieuwe functionaliteit biedt en aan geen enkel protocol voldoet.
Op donderdag 7 mei 2009 heeft ABN AMRO opdracht gegeven alle e.dentifiers in een aantal webshops veilig te stellen. Vervolgens hebben medewerkers van ABN AMRO een aantal van de veiliggestelde e.dentifiers opengebroken, waarbij een deel bleek te zijn gemanipuleerd. De manipulatie bestond uit het aanbrengen van een chip, hierna mod chip genoemd.
ABN AMRO heeft van een gemodificeerde e.dentifier onderzocht hoe deze reageert op het insteken van een bankpas. Uit dit onderzoek bleek dat de mod chip daadwerkelijk de track-2 data opvraagt die in de Chip op de bankpas staat opgeslagen, en dat de bankpas deze track-2 data ook daadwerkelijk teruggeeft. De mod chip grijpt dus actief in op het vraag- en antwoord spel van de e.dentifier. Een originele e.dentifier vraagt namelijk nooit de track-2 data op, omdat deze niet nodig is voor authenticatie.
Op de computer van [medeverdachte] zijn meerdere broncode bestanden aangetroffen, geschreven in de programmeertalen “Assembly Language” en “Java”. Van een aantal van deze broncodes is gebleken dat deze bedoeld zijn voor het programmeren van chips van hetzelfde type als de mod chips die in de e.dentifiers gevonden zijn. Daarnaast bleken de broncode bestanden te zijn voorgeprogrammeerd om deel te nemen aan het vraag- en antwoord spel dat plaatsvindt in een e.dentifier. Bestudering van dit vraag- en antwoord spel toonde aan dat de track-2 data, die in de Chip op de ingestoken bankpas staat opgeslagen, wordt opgevraagd en dat het programma in de gaten houdt of er PIN codes worden ingetoetst. De track-2 data wordt vervolgens samen met de PIN code opgeslagen in de mod chip zelf. Op deze manier is een gemodificeerde e.dentifier in staat om zelfstandig track-2 data en PIN codes te verzamelen van iedereen die de e.dentifier gebruikt. De programmering in de broncode bestanden vertoont grote gelijkenis met het gedrag van de mod chips zoals door ABN AMRO is onderzocht. In een later stadium van het onderzoek zijn de computerprogramma's die in de mod chips zitten veiliggesteld en vergeleken met de aangetroffen broncode bestanden. De gelijkenis bleek opvallend. Er zijn meer details in de onderzoeksresultaten die sterke aanwijzingen geven dat de mod chips in de gemanipuleerde e.dentifiers zijn voorzien van de programmatuur die op de computer van [medeverdachte] is aangetroffen.
Er is ook onderzoek gedaan naar de manier waarop de verzamelde track-2 data en PIN codes weer uit de e.dentifier kunnen worden gehaald. Het blijkt dat hiervoor een speciale javacard is ontwikkeld.
Op de computer van [medeverdachte] is broncode aangetroffen, geschreven in de programmeertaal Java. Onderzoek van deze broncode heeft aangetoond dat deze broncode bedoeld is om javacards mee te programmeren, en dat deze javacards vervolgens kunnen deelnemen aan het vraag- en antwoordspel in een e.dentifier. De Java broncode bleek zelfs een “ChipKnip Saldo” functie te bevatten, waarmee het aantal opgeslagen track-2 gegevens kan worden opgevraagd. De Java broncode bleek ook een vraag- en antwoord spel te kunnen voeren dat precies aansluit bij de programmering van de mod chips, en dat dit vraag- en antwoordspel bedoeld is om gegevens te kopiëren van de mod chip naar de javacard. Het NFI heeft daadwerkelijk track-2 en PIN codes weten veilig te stellen welke waren opgeslagen op de twee in beslag genomen javacards. Deze gegevens bleken allen afkomstig van ABN AMRO klanten. (...)”
2.3
Het Hof heeft ten aanzien van de bewezenverklaring voorts het volgende overwogen:
“Inleiding
ABN AMRO Bank N.V. is in de periode van medio december 2008 tot en met mei 2009 geconfronteerd met aanvallen van skimming waarbij het zogenaamde Common Point of Purchase (de door de bank geregistreerde locatie van een specifieke geldautomaat of betaalautomaat) niet kon worden vastgesteld. Dit betekent dat de betreffende bankpassen niet zijn geskimd bij een reguliere geld- of betaalautomaat. Met gebruik van valse betaalpassen is vervolgens (wereldwijd) ten laste van rekeninghouders van ABN AMRO Bank geld afgeschreven.
Op 7 mei 2009 is het Team High Tech Crime in Nederland geïnformeerd door de Engelse Dedicated Cheque and Plastic Crime Unit (DCPCU) over een nieuwe methode van skimming, die aan het licht was gekomen na het aantreffen van een gemanipuleerde identificatiekaartlezer (een zogenaamde e-dentifier van ABN AMRO Bank) tijdens een huiszoeking in de woning van de medeverdachte [medeverdachte].
ABN AMRO Bank heeft in de ten laste gelegde periode haar klanten in staat gesteld om in haar zogeheten bankshops te internetbankieren met gebruikmaking van daartoe bij computers geplaatste e-dentifiers. Deze e-dentifiers dienden ter authenticatie en wel aldus dat een klant zijn of haar betaalpas in een dergelijke e-dentifier plaatste en vervolgens de pincode intoetste, waarna de eigenlijke authenticatie plaatsvond middels een zogeheten challenge-response procedure.
Uit nader onderzoek is het volgende gebleken.
Een medeverdachte, [medeverdachte], heeft in de ten laste gelegde periode meerdere e-dentifiers van de ABN AMRO Bank gemanipuleerd. Anderen hebben [medeverdachte] voorzien van originele e‑dentifiers van ABN AMRO Bank. Verdachte heeft [medeverdachte] van een originele ABN AMRO‑bankpas voorzien. [medeverdachte] heeft vervolgens in de originele e-dentifiers een extra printplaat met daarop een microcontroller aangebracht, waardoor gegevens konden worden onderschept. Het ging daarbij in het bijzonder om de zogenaamde track 2 gegevens. Deze gegevens bevinden zich op de magneetstrip van bankpassen en bevatten onder meer de rekeninggegevens en de versleutelde pincode behorende bij de betreffende bankpas. Telkens wanneer een klant van ABN AMRO Bank zijn of haar bankpas in een door [medeverdachte] gemanipuleerde e-dentifier plaatste, werden de track 2 gegevens onderschept door, en opgeslagen op de door [medeverdachte] vervaardigde microcontroller. [medeverdachte] heeft daarnaast ook zogenaamde downloadpassen geprogrammeerd. Op deze downloadpassen konden honderden track 2 gegevens in combinatie met pincodes worden opgeslagen. De downloadpassen waren zodanig geprogrammeerd dat deze de track 2 gegevens en pincodes die in een gemanipuleerde e-dentifier waren opgeslagen, konden uitlezen en wegschrijven naar c.q. opslaan in het geheugen op de downloadpas.
De gemanipuleerde e-dentifiers en downloadpassen zijn door [medeverdachte] aan anderen verstrekt, waaronder verdachte. Verdachte en deze anderen hebben vervolgens e-dentifiers in de ABN AMRO bankshops omgewisseld met de gemanipuleerde e-dentifiers. Nietsvermoedende klanten van de ABN AMRO bankshops konden vervolgens ogenschijnlijk ‘gewoon’ in de bankshop internetbankieren en hun transacties verrichten. Ondertussen werden de track 2 gegevens en pincode van hun betaalpassen afgevangen en opgeslagen in de gemanipuleerde e‑dentifier. Daarna hebben medeverdachten de opgeslagen gegevens volgens een door [medeverdachte] ontworpen werkwijze gekopieerd op de downloadpassen, door nogmaals naar de bankshops te gaan en daar de downloadpassen in de gemanipuleerde e-dentifier te plaatsen. Verdachte zorgde voor het vervoer en het contact met anderen binnen de skimorganisatie.
Uit het onderzoek blijkt voorts dat [medeverdachte] de downloadpassen zodanig had geprogrammeerd dat de opgeslagen gegevens werden versleuteld en alleen door hem konden worden gelezen. De van track 2 gegevens en pincodes voorziene downloadpassen werden door de medeverdachten bij [medeverdachte] bezorgd die de gegevens vervolgens heeft ontsleuteld. De aldus verkregen gegevens zijn gebruikt voor de vervaardiging van geprepareerde betaalpassen die [medeverdachte] weer ter beschikking heeft gesteld aan een of meer personen, die daarmee in staat waren bij geldautomaten geld op te nemen ten laste van de klanten van ABN AMRO Bank als waren zij daartoe bevoegd. Ook verdachte nam deel aan een actie waarbij met behulp van met de onrechtmatig verkregen gegevens vervaardigde valse betaalpassen in Italië werd ‘gecasht’.
Is een E-dentifier een geautomatiseerd werk?
De raadsman van verdachte heeft zich ter terechtzitting in hoger beroep op het standpunt gesteld dat de gemanipuleerde e-dentifiers (al dan niet in combinatie met een downloadpas) niet zijn aan te merken als geautomatiseerd werk in de zin van artikel 80sexies Sr. Daarnaast heeft de raadsman aangevoerd dat er geen sprake is van aftappen of opnemen van gegevens, nu een gemanipuleerde e-dentifier niet beschikt over enige digitale verbinding en derhalve geen gegevens die worden overgedragen kan aftappen of opnemen.
Het hof overweegt hieromtrent als volgt.
Artikel 80sexies Sr luidt als volgt: “Onder geautomatiseerd werk wordt verstaan, een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.”
Ingevolge de Wet computercriminaliteit II is de definitie van het begrip “geautomatiseerd werk” gewijzigd, in die zin dat de zinsnede ‘op te slaan en te verwerken’ is vervangen door ‘op te slaan, te verwerken en over te dragen’. De parlementaire wetsgeschiedenis houdt hieromtrent in:
“Dit onderdeel beoogt aan de definitie van een geautomatiseerd werk de overdrachtsfunctie toe te voegen. Deze functie is een wezenskenmerk van een geautomatiseerd werk, dat immers met name bestemd is om daarin opgeslagen of verwerkte gegevens aan de gebruiker terug te geven of aan een ander (computer-)systeem over te dragen.
De definitie spreekt van opslag, verwerking èn overdracht van gegevens. Het gaat hier om cumulatieve voorwaarden. Een inrichting die enkel bestemd is om gegevens over te dragen (een eenvoudig telefoontoestel, bepaalde zend- en ontvanginrichtingen) of op te slaan valt dus buiten de begripsomschrijving” (Kamerstukken II, 1998-1999, 26 671, nr. 3, p. 44).
Uit de wetsgeschiedenis volgt dat het begrip geautomatiseerd werk niet beperkt is tot apparaten die zelfstandig aan deze drievoudige eis kunnen voldoen. Ook netwerken bestaande uit computers en/of telecommunicatievoorzieningen heeft de wetgever onder het begrip ‘geautomatiseerd werk’ willen brengen (vgl. HR 26 maart 2013, rov. 2.5, ECLI:NL:HR:2013:BY9718).
Niet bestreden is dat de e-dentifiers bestemd zijn om langs elektronische weg gegevens te verwerken en over te dragen. Nadat contact is gemaakt met een betaalpas sturen zij immers gegevens/signalen naar de chip op de pas (de challenge), waarna de chip (door middel van gegevensvrijgave) en de gebruiker (d.m.v. invoer van de pin) antwoorden. Daarna vergelijkt (verwerkt) de e-dentifier deze gegevens en genereert de e-dentifier indien juiste gegevens zijn ingevoerd een 8-cijferige code (de response) en voert deze uit naar zijn LED-scherm. De e‑dentifiers hebben echter op zichzelf niet ook als functionaliteit dat zij ook gegevens kunnen opslaan.
Uit de aangifte en technische rapportages blijkt echter dat een e-dentifier na de manipulatie door de medeverdachte [medeverdachte] óók over een opslagfunctie beschikt, en dat deze ook extra verwerkings- (dat wil zeggen: de e-dentifier leest track-2 gegevens en de pincode van de chip en plaatst deze gegevens op een aparte geheugenplaats) en overdrachtsfuncties (na invoeren van een code op de e-dentifier worden de op de aparte geheugenplaats opgeslagen gegevens overgedragen naar een downloadkaart) heeft gekregen.
Gelet op het voorgaande komt het hof tot de conclusie dat de gemanipuleerde e-dentifiers zijn aan te merken als geautomatiseerd werk. Daarnaast kan worden vastgesteld dat de gemanipuleerde e-dentifiers de track 2 gegevens en de pincode van een betaalpas opslaan op een aparte geheugenplaats, en derhalve deze gegevens opnemen.
Het verweer wordt daarom verworpen.”
2.4
Blijkens het proces-verbaal van de terechtzitting in hoger beroep van 19 december 2017 heeft de raadsman van de verdachte aldaar het woord gevoerd overeenkomstig de aan het proces-verbaal gehechte pleitnota. Deze pleitnota houdt onder meer in:
“Feit 1. en 2.
Artikel 139c Wetboek van Strafrecht is niet van toepassing; er is niet afgetapt of opgenomen.
De officier van justitie heeft ten laste gelegd het verkrijgen van gegevens uit aangepaste e.dentifiers middels het stoppen zogenaamde downloadpassen in die e.dentifiers.
Nadat bij pleidooi was aangevoerd dat een dergelijke e.dentifier niet als een geautomatiseerd werk kan worden beschouwd, heeft de officier van justitie zich bij repliek op het consistente en kraakheldere standpunt gesteld dat een e.dentifier als zodanig is aan te merken.
Echter, ten onrechte want aan een e.dentifier is niets geautomatiseerds te vinden. Het is een los kastje zonder enige (digitale) verbinding. Cliënt heeft derhalve niet gedaan hetgeen het Openbaar Ministerie hem zeer expliciet ten laste heeft gelegd.”
.jpg?width=50&height=55)
.jpg?width=50&height=55)
