Cyberkamer veroordeelt verdachte voor grootschalige malwarecampagne en bankfraude: taakstraf in plaats van gevangenisstraf wegens forse overschrijding redelijke termijn
/Gerechtshof Den Haag 4 februari 2026, ECLI:NL:GHDHA:2026:176
Het gerechtshof Den Haag veroordeelt een verdachte voor het medeplegen van computervredebreuk, oplichting, het misbruiken van identificerende persoonsgegevens en het voorhanden hebben van technische hulpmiddelen en inloggegevens voor het plegen van computervredebreuk. De verdachte verspreidde samen met anderen malware via valse e-mails en internetposts, waarmee computers van slachtoffers werden geinfecteerd en inloggegevens van bankrekeningen werden buitgemaakt. Met die inloggegevens werd ingelogd op bankrekeningen en werden geldbedragen naar derden overgemaakt, voor een totaalbedrag van circa 34.931 euro. Het hof verwerpt het verweer dat sprake is van een vormverzuim bij het verkrijgen van het wachtwoord van de computer van de verdachte. Hoewel het hof een gevangenisstraf van twaalf maanden in beginsel passend acht, legt het een taakstraf van 240 uur op vanwege een overschrijding van de redelijke termijn van in totaal ruim vijf jaar. De bank wordt als benadeelde partij een schadevergoeding van 39.161,44 euro toegewezen.
Inleiding en context
Het gerechtshof Den Haag (cyberkamer) behandelt in hoger beroep een strafzaak tegen een verdachte, geboren in 1994, die wordt verweten dat hij samen met anderen via spamberichten en valse internetposts malware heeft verspreid waarmee computers van particulieren werden geinfecteerd. Met de aldus verkregen inloggegevens verschaften de verdachte en zijn medeverdachten zich toegang tot bankrekeningen, waarna geldbedragen werden overgemaakt naar rekeningen van derden. De feiten dateren uit de periode januari tot en met augustus 2016. In eerste aanleg veroordeelt de rechtbank Rotterdam de verdachte op 10 september 2019 tot een gevangenisstraf van 24 maanden, waarvan zes maanden voorwaardelijk, met een proeftijd van twee jaren. De verdachte stelt hoger beroep in. Het procesverloop in hoger beroep kent aanzienlijke vertraging, onder meer doordat de zaak wegens gebrek aan zittingscapaciteit wordt overgedragen aan het gerechtshof Amsterdam, waar op 20 april 2023 een regiezitting plaatsvindt maar geen inhoudelijke behandeling volgt. De zaak keert vervolgens terug naar het gerechtshof Den Haag, dat de zaak inhoudelijk behandelt op 13 november 2025 en 21 januari 2026.
Tenlastelegging en wettelijk kader
De verdachte wordt vier feiten verweten, voor zover aan het oordeel van het hof onderworpen. Onder feit 1 wordt de verdachte verweten dat hij zich samen met anderen schuldig heeft gemaakt aan computervredebreuk in de zin van artikel 138ab van het Wetboek van Strafrecht (hierna: Sr), door opzettelijk en wederrechtelijk binnen te dringen in geautomatiseerde werken van een bank, van meerdere met name genoemde slachtoffers en van ten minste 180 onbekend gebleven personen. De verdachte en zijn medeverdachten plaatsten links op een openbaar toegankelijke website en verspreidden valse e-mails, waarna het aanklikken van die links leidde tot de installatie van malware (RAT en LuminosityLink). Door middel van deze malware werden toetsaanslagen en daarmee inloggegevens geautomatiseerd verzonden naar de computer van de verdachte. Tevens werden privacygevoelige documenten van slachtoffers overgenomen. Feit 2 betreft het medeplegen van oplichting in de zin van artikel 326 Sr, doordat de verdachte en zijn medeverdachten met de verkregen inloggegevens inlogden op bankrekeningen en geldbedragen van in totaal circa 34.931 euro overmaakten naar bankrekeningen van derden, waardoor de bank werd bewogen tot afgifte van deze bedragen. Feit 3 primair betreft het medeplegen van het opzettelijk en wederrechtelijk gebruiken van identificerende persoonsgegevens van een ander in de zin van artikel 231b Sr. De verdachte en zijn medeverdachten verstuurden valse e-mails uit naam van een werknemer van een bedrijf, waardoor ontvangers werden verleid malware te downloaden. Feit 5 betreft het voorhanden hebben en verspreiden van een technisch hulpmiddel (malware) en inloggegevens in de zin van artikel 139d Sr, met het oogmerk computervredebreuk als bedoeld in artikel 138ab, tweede lid, Sr te plegen. De verdachte had onder meer een bestand met gebruikersnamen, wachtwoorden en websites van bijna 21.000 personen voorhanden.
Standpunt van het Openbaar Ministerie
De advocaat-generaal vordert bevestiging van het vonnis van de rechtbank wat betreft de bewezenverklaring, maar vordert een zwaardere straf dan in eerste aanleg is opgelegd: een gevangenisstraf van 27 maanden met aftrek van voorarrest. De advocaat-generaal stelt zich daarbij op het standpunt dat de zaak al op 20 april 2023 inhoudelijk had kunnen worden afgedaan als de verdediging niet andermaal dezelfde onderzoekswensen had ingediend, en dat de verdediging daarmee een relevant aandeel heeft gehad in de overschrijding van de redelijke termijn.
Standpunt van de verdediging
De raadsman voert ter terechtzitting in hoger beroep een vormverzuimverweer. Hij stelt dat de politie toegang tot de gegevens op de desktopcomputer van de verdachte heeft verkregen door gebruikmaking van een gestolen wachtwoord, hetgeen een ingrijpende inbreuk op het privacyrecht van de verdachte oplevert. Dit dient volgens de raadsman te leiden tot toepassing van artikel 9a Sr (schuldigverklaring zonder oplegging van straf), dan wel tot matiging van de op te leggen straf. Daarnaast betwist de verdediging de vordering van de benadeelde partij, in het bijzonder ten aanzien van de gevorderde onderzoekskosten. De verdachte neemt ter terechtzitting in hoger beroep verantwoordelijkheid voor zijn handelen en betuigt spijt.
Oordeel gerecht
Het hof verklaart de verdachte niet-ontvankelijk in het hoger beroep voor zover gericht tegen de vrijspraak van feit 4 in eerste aanleg, nu artikel 404, vijfde lid, Sv geen hoger beroep openstelt tegen een vrijspraak voor de verdachte zelf. Het hof vernietigt het vonnis van de rechtbank voor zover aan zijn oordeel onderworpen en doet opnieuw recht. Het vormverzuimverweer van de raadsman wordt verworpen. Het hof stelt vast dat de politie voorafgaand aan de doorzoeking van de woning het wachtwoord van de desktopcomputer van de verdachte op rechtmatige wijze heeft verkregen door middel van een IP-tap, waarvoor een machtiging van de rechter-commissaris van 28 juli 2016 en een bevel van de officier van justitie waren afgegeven. Van een gestolen wachtwoord of vormverzuim is geen sprake. Het hof acht wettig en overtuigend bewezen dat de verdachte de feiten 1, 2, 3 primair en 5 heeft begaan. Het hof grondt zijn overtuiging op de feiten en omstandigheden die in de bewijsmiddelen zijn vervat. Het hof overweegt dat de verdachte geen centrale rol vervulde in de zin dat hij de leiding had over het criminele samenwerkingsverband, maar dat hij samen met enkele medeverdachten een essentiele rol had in het geheel. Ten aanzien van de vordering van de benadeelde partij oordeelt het hof, anders dan de raadsman, dat de gevorderde onderzoekskosten kosten betreffen die in redelijkheid zijn gemaakt in het kader van de bedrijfsvoering en derhalve voor toewijzing in aanmerking komen.
Bewezenverklaring
Het hof verklaart bewezen dat de verdachte zich schuldig heeft gemaakt aan de volgende feiten:
feit 1: medeplegen van computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt voor zichzelf of een ander overneemt, meermalen gepleegd;
feit 2: medeplegen van oplichting, meermalen gepleegd;
feit 3 primair: medeplegen van het opzettelijk en wederrechtelijk gebruiken van identificerende persoonsgegevens van een ander, niet zijnde biometrische persoonsgegevens, met het oogmerk de identiteit van die ander te misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, meermalen gepleegd;
feit 5: het met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, tweede lid, Sr wordt gepleegd, verwerven en voorhanden hebben van een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, alsmede het verwerven en voorhanden hebben van een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden verkregen tot een geautomatiseerd werk, meermalen gepleegd.
De verdachte wordt vrijgesproken van hetgeen meer of anders is tenlastegelegd.
Strafoplegging en maatregelen
Het hof overweegt dat de verdachte zich gedurende ruim zeven maanden op geraffineerde wijze schuldig heeft gemaakt aan ernstige feiten die financiele schade bij de slachtoffers hebben veroorzaakt, inbreuk hebben gemaakt op hun priveleven en het vertrouwen in de veiligheid van het digitale betalingsverkeer hebben ondermijnd. Het hof slaat acht op het feit dat de verdachte niet eerder onherroepelijk is veroordeeld voor soortgelijke strafbare feiten, dat hij ter terechtzitting verantwoordelijkheid heeft genomen en spijt heeft betuigd, en dat de zaak media-aandacht heeft gekregen met gevolgen voor de verdachte. Het hof constateert een forse overschrijding van de redelijke termijn als bedoeld in artikel 6, eerste lid, EVRM. In eerste aanleg bedraagt de overschrijding ruim een jaar. In hoger beroep bedraagt de overschrijding vier jaar en ruim vier maanden. Het hof verwerpt het standpunt van de advocaat-generaal dat de verdediging een relevant aandeel heeft gehad in deze overschrijding. Het hof acht in beginsel een gevangenisstraf van twaalf maanden passend en geboden, maar matigt deze gelet op de overschrijding van de redelijke termijn tot een gevangenisstraf van zes maanden, die vervolgens gelet op de persoonlijke omstandigheden van de verdachte en de media-aandacht wordt omgezet in een geheel onvoorwaardelijke taakstraf van 240 uur, bij niet naar behoren verrichten te vervangen door 120 dagen hechtenis. In voorarrest doorgebrachte tijd wordt in mindering gebracht. Het hof verklaart drie in beslag genomen voorwerpen verbeurd: een Samsung-telefoon, een desktopcomputer en een Kingston-usb-stick. Het hof wijst de vordering van de benadeelde partij (de bank) toe tot een bedrag van 39.161,44 euro aan materiele schade, bestaande uit schadeloosstellingen en onderzoekskosten, waarvoor de verdachte met de medeverdachten hoofdelijk aansprakelijk is, vermeerderd met de wettelijke rente vanaf 4 februari 2022. Het hof legt een schadevergoedingsmaatregel op voor hetzelfde bedrag en bepaalt de duur van de gijzeling op ten hoogste 188 dagen. Het hof wijkt hiermee aanzienlijk af van de eis van de advocaat-generaal, die een gevangenisstraf van 27 maanden vorderde.
Lees hier de volledige uitspraak.
