Rechtbank Noord-Holland 28 juni 2022, ECLI:NL:RBNHO:2022:5561

Op grond van de inhoud van het dossier en wat er op de zitting is besproken, stelt de rechtbank het volgende vast. De Medeverdachte K was werknemer van Albert Heijn, onderdeel van Ahold Delhaize. In december 2018 kregen alle werknemers van Albert Heijn een kerstcadeaukaart met een tegoed van € 25. Met de (unieke) code op deze cadeaukaarten kon men op de website www.ah.nl/kerstgeschenk (hierna: de website) vouchers voor verschillende webshops waaronder Bol.com, Zalando, iTunes, Nintendo en ah.nl uitkiezen. Deze vouchers werden verstuurd naar een in te vullen e-mailadres en konden vervolgens bij de gekozen webshop worden verzilverd.

De verdachte heeft op 27 december 2018 samen met de medeverdachte ontdekt dat de cadeaukaartcodes te dupliceren waren door tegelijk dezelfde code op meerdere apparaten of meerdere openstaande tabbladen naar de website te sturen en zo tegelijk meerdere vouchers te verkrijgen. Op sommige momenten lukte het om zo met één code tien vouchers te krijgen. De Medeverdachte K heeft van twee collega’s cadeaukaarten overgekocht om dit te kunnen doen. Kort daarna ontdekten zij dat met een brute force attack op het tekstveld van de website, waarbij door een programma willekeurige cijfercombinaties worden geprobeerd, cadeaukaartcodes gevonden konden worden, waarmee de website kon worden benaderd. Deze brute force attack hebben zij aanvankelijk uitgevoerd met het programma Burp Suite. Na ontdekking van dit misbruik van de website door aangever hebben op 4 en 9 januari 2019 gesprekken met de Medeverdachte K plaatsgevonden, waarbij deze heeft toegegeven de codes onrechtmatig te hebben gedupliceerd respectievelijk verkregen. Naar aanleiding van het laatste gesprek is de medeverdachte ontslagen bij Albert Heijn.

Als reactie op de brute force attacks is de website verder beveiligd met onder meer een blokkade van IP adressen die meerdere keren werden gebruikt en een tweestapsverificatie. Daarbij moest een telefoonnummer worden ingevoerd waar een code naartoe werd gestuurd die weer op de website moest worden ingevoerd. De verdachte en medeverdachte K zijn in de loop van februari en maart 2019 op zoek gegaan naar manieren om deze beveiligingen te omzeilen. verdachte heeft een PHP-script geschreven om brute force attacks uit te kunnen blijven voeren. Hierbij hadden zij de beschikking over 10.000 verschillende IP adressen. Daarnaast hebben ze gebruik gemaakt van een grote hoeveelheid verschillende simkaarten. Het grootste deel van de simkaarten werd geleverd door Medeverdachte G. medeverdachte G gaf de telefoonnummers van de simkaarten door aan medeverdachte K en verdachte, die deze invoerden op de website, waarna medeverdachte G via sms op het gebruikte telefoonnummer een verificatiecode ontving die hij weer doorgaf aan de medeverdachten. medeverdachte K of verdachte ontving vervolgens – na invoering van die laatste verificatiecode – via e-mail de vouchers, waarvan zij een deel doorstuurden naar medeverdachte G. De afspraak was dat de helft van de vouchers voor medeverdachte G was en de andere helft voor medeverdachte K en verdachte.

Feit 1

De rechtbank moet de vraag beantwoorden of de verdachten zich schuldig hebben gemaakt aan computervredebreuk, dat wil zeggen of zij met hun handelwijze zijn binnengedrongen in een geautomatiseerd werk als bedoeld in artikel 138ab Sr. In lid 1 van dit artikel is vermeld dat van binnendringen in ieder geval sprake is indien de toegang tot het geautomatiseerd werk wordt verworven door het doorbreken van een beveiliging, door een technische ingreep, met behulp van valse signalen of een valse sleutel of door het aannemen van een valse hoedanigheid.

Is sprake van een geautomatiseerd werk?

Ingevolge artikel 80 sexies Sr wordt onder geautomatiseerd werk verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken. Uit het voorgaande kan worden afgeleid dat onder een geautomatiseerd werk steeds een (onderdeel van) een fysiek apparaat is begrepen. Dus een computer, server, router, “ereader”, chip en dergelijke, maar in elk geval zogenaamde hardware. Het gaat in alle gevallen niet om software, zoals computerprogramma’s, of websites. Wel is het zo dat een website, om zijn functie op het internet te kunnen vervullen, moet zijn ondergebracht (worden ‘gehost’) op een geautomatiseerd werk (een server), dat met dat internet is verbonden. In die zin bestaat er wel een duidelijk functioneel verband tussen een website en een geautomatiseerd werk. De instandhouding van een actieve website vereist dat een geautomatiseerd werk in werking is. Gelet hierop gaat de rechtbank er bij de beoordeling van deze strafzaak vooralsnog vanuit dat activiteiten op een actieve website activiteiten op de achterliggende server impliceren. Dit brengt met zich dat de door de verdachte en zijn medeverdachten uitgevoerde handelingen betrekking hadden op een geautomatiseerd werk.

Is er binnengedrongen?

Uit de hiervoor beschreven feitelijke handelingen van de verdachte en de medeverdachten kan worden afgeleid dat zij via brute force attacks codes van de kerstcadeaukaarten hebben gegenereerd. Dit waren codes waarmee ze vervolgens vouchers voor diverse webshops konden verkrijgen. In eerste instantie hebben ze dit gedaan via Burp Suite, later onder andere met toepassing van PHP-scripts en opgevraagde verificatiecodes.

Voor beantwoording van de vraag of het voorgaande binnendringen in de zin van de delictsomschrijving van artikel 138ab Sr oplevert acht de rechtbank het, mede bezien tegen de achtergrond van de hiervoor besproken wettelijke definitie van het begrip geautomatiseerd werk, van beslissende betekenis of de verdachte en de medeverdachten hiermee toegang hebben verkregen tot afgeschermde gegevens op het geautomatiseerde werk en zo ja door welke techniek(en).

De rechtbank stelt allereerst vast dat geen sprake is geweest van de in de tenlastelegging omschreven feitelijke gedraging “inloggen dan wel toegang verkrijgen tot de website door middel van codes”. Uit het dossier blijkt dat de website van Albert Heijn vrij toegankelijk was; er hoefde niet ingelogd te worden. Nadat men op de website een voucher had uitgezocht, hoefde pas een code ingevoerd te worden. Ook de getuige getuige, die in opdracht van Ahold Delhaize de website had gebouwd en heeft geadviseerd bij de later aangebrachte verbeteringen in de beveiliging, heeft verklaard dat men geen inlogscherm passeerde bij het bezoek aan de website (pagina 1193 en 1194 van het dossier).

Zodra men op de website een voucher had uitgezocht, was het invoeren van de code de laatste stap om de voucher daadwerkelijk te verkrijgen. Nadere informatie over de vraag of deze activiteit in technische dan wel juridische zin zo moet worden opgevat dat men daarmee toegang heeft verkregen tot afgeschermde gegevens op het geautomatiseerde werk en zo ja, of daarvoor meer of andere technieken zijn aangewend, ontbreekt in het dossier.

Voorgaande overweging is van toepassing zowel op de eerste fase waarin de verdachte de website van Albert Heijn heeft benaderd (in december 2018 en begin 2019) als op de tweede fase (in februari en maart 2019) waarin hij met aanvullende kunstgrepen te werk is gegaan. In beide fasen was het eindresultaat, bestaand in de verkrijging van een voucher, dezelfde. Het feit dat hiervoor in de tweede fase meer voorbereidende stappen nodig waren maakt dit niet anders.

Gelet op het voorgaande kan de rechtbank niet met zekerheid vaststellen of de verdachte en zijn medeverdachten meer hebben gedaan dan het gebruik maken van een kwetsbaarheid van de website waarmee zij vouchers in bezit hebben gekregen. Er zijn onvoldoende aanknopingspunten die houvast bieden voor de vaststelling dat zij toegang hebben verkregen tot het geautomatiseerde werk met de daarop opgeslagen afgeschermde gegevens.

Er is weliswaar sprake geweest van het gebruik van een valse sleutel, als bedoeld in lid 1 van artikel 138ab Sr, maar de strafbepaling kan niet zo worden gelezen dat deze handelwijze als zodanig reeds het zich verschaffen van toegang oplevert.

Dit leidt ertoe dat de verdachte zal worden vrijgesproken van het onder 1 ten laste gelegde.

Feit 2

Met betrekking tot de verweren van de verdediging, staat de rechtbank allereerst stil bij de tenlastelegging en de vraag op welke weggenomen objecten de tenlastelegging ziet, te weten de kerstcadeaukaarten met de codes of de vouchers van de respectieve webshops. Gelet op de bewoordingen van de tenlastelegging kan deze slechts zo worden begrepen dat met vouchers/tegoedbonnen is bedoeld de vouchers van de webshops die op de website, door middel van de codes op de kerstcadeaukaarten, kunnen worden uitgekozen.

Is een voucher een goed?

Ten aanzien van het betoog van de verdediging dat een voucher geen goed is als bedoeld in artikel 310 Sr, overweegt de rechtbank als volgt. Onder het begrip ‘goed’ valt elk goed dat vatbaar is om voor de bezitter (economische of anderszins) waarde te hebben. Dit kunnen ook niet-stoffelijke objecten zijn, als het gaat om een object dat naar zijn aard geschikt is om aan de beschikkingsmacht van een ander te worden onttrokken. Het begrip ‘beschikkingsmacht’ wordt in de jurisprudentie onder meer geduid als het hebben van ‘feitelijke en exclusieve heerschappij’ over het goed (Runescape-arrest, HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251).

De digitale aard van de voucher, bestaande uit een reeks cijfers, staat er op zichzelf niet aan in de weg om het aan te merken als goed. Een voucher vertegenwoordigt een concreet vastgestelde economische waarde en is daarnaast overdraagbaar. Zodra de één de feitelijke macht over de voucher heeft verkregen, bijvoorbeeld door deze te verzilveren, is de ander deze verloren. Een voucher kan immers maar één keer worden verzilverd. De enkele omstandigheid dat een voucher(code) ook eigenschappen heeft van gegevens in de zin van art. 80quinquies Sr, zoals een reeks getallen, brengt niet mee dat dit object reeds daarom niet meer als goed in de zin van art. 310 Sr kan worden aangemerkt.

Dit leidt tot de slotsom dat de in de tenlastelegging bedoelde vouchers een “goed” zijn in de zin van artikel 310 Sr.

Behoorden de vouchers aan iemand toe?

De rechtbank onderscheidt in het kader van de toepasselijkheid van het begrip “toebehoren” in dit geval in meest algemene zin drie mogelijkheden. Het goed behoort toe aan de verdachte of zijn medeverdachten, het goed behoort toe aan een ander dan de verdachte of zijn medeverdachten, in dit geval Ahold Delhaize of een van diens werknemers, of het goed behoort aan niemand toe (res nullius). Als het goed aan niemand toebehoort, dan is geen sprake van diefstal als het wordt weggenomen.

De rechtbank stelt vast dat uit de processtukken niet met zekerheid kan worden afgeleid aan wie de vouchers ten tijde van het bezoek aan de website en het uitkiezen ervan toebehoorden. Evenmin is duidelijk of op het moment dat een voucher werd uitgekozen al een betalingsverplichting bestond voor Ahold Delhaize richting de specifieke webshop waarvan een voucher is gekozen. Echter, zoals hiervoor al is overwogen, vertegenwoordigen de vouchers een vooraf vastgestelde economische waarde die verzilverbaar is, ten laste van hetzij de aanbieder van de cadeaukaart, hetzij de uitgekozen webshop. Hieruit volgt reeds dat de vouchers geen res nullius zijn. Verder staat vast dat de vouchers niet aan de verdachte of zijn medeverdachten toebehoorden. Dit leidt tot de conclusie dat de vouchers nog aan Ahold Delhaize of al aan diens werknemers toebehoorden. Om van diefstal te kunnen spreken, is niet noodzakelijk dat vaststaat aan wie een goed toebehoorde, maar dát het aan iemand toebehoorde. Gelet op het vorenstaande is ook dit bestanddeel van de delictsomschrijving vervuld.

Zijn de vouchers weggenomen?

Uit de bewijsmiddelen blijkt dat de feitelijke gang van zaken was dat de verdachte of één van zijn medeverdachten op de website www.ah.nl/kerstgeschenk een keuze maakte uit de beschikbare vouchers. Deze plaatste hij vervolgens in de virtuele winkelmand om hem daarna – na invoering van onrechtmatig verkregen codes van de kerstcadeaukaarten – elektronisch over te laten brengen naar het door hem ingevoerde emailadres. De verdachte en/of één van zijn medeverdachten heeft gelet hierop actief een aantal handelingen verricht, die de grondtrekken hebben van winkelen in een virtuele winkel. De feitelijke en exclusieve heerschappij van de voucher is hiermee overgegaan naar de verdachte en/of zijn medeverdachten. De rechtbank is dan ook van oordeel dat de verdachte, tezamen en in vereniging met zijn medeverdachte(n), de vouchers heeft weggenomen.

Bewezenverklaring

Feit 2 primair: diefstal door twee of meer verenigde personen, waarbij de schuldige het weg te nemen goed onder zijn bereik heeft gebracht door middel van valse sleutels, meermalen gepleegd.
Feit 3: Medeplegen van oplichting, meermalen gepleegd.