Bitcoins verwerven via Ransomware: de juridische gevolgen

De strafrechtelijke sancties op het verspreiden van Ransomware kunnen dan ook snel oplopen. Toch blijven ook de slachtoffers niet in de wind staan: ook zij kunnen een schadevergoeding vorderen. Echter belooft dat niet altijd even eenvoudig te zijn.

Cybercriminelen trachten via zogenoemde Ransomware inkomsten te verwerven. Hierbij gijzelen ze de computer van de gebruiker en versleutelen ze alle bestanden en data. In ruil voor het vrijgeven van die gegevens vragen ze dan een betaling. Bitcoin is omwille van het anoniem karakter een ideaal hulpmiddel om slachtoffers financieel op te lichten. Uiteraard zijn hieraan strafrechtelijke sancties verbonden. Dat wisten recent ook twee Nederlanders in levenden lijve te ervaren toen ze voor de Rotterdamse rechtbank moesten verschijnen. Toch kunnen ook de civielrechtelijke gevolgen sterk oplopen.

Strafrechtelijke behandeling van Ransomware

We verplaatsen ons naar de Rechtbank te Rotterdam waar twee Nederlanders moesten verschijnen voor het gebruik van de eerder aangehaalde Ransomware. Het ging om twee broers die het virus CoinVault ontworpen hadden. Het virus versleutelde hierbij de bestanden van het slachtoffer, die echter een vrijgavesleutel kon kopen voor de prijs van één Bitcoin. Op het moment van de feiten bedroeg de kostprijs van één Bitcoin nog ongeveer 220 euro. Volgens de broers was die prijs gekozen “om het betaalbaar te houden”.

In de praktijk gingen de broers heel zorgvuldig te werk. Zo beschikten ze bijvoorbeeld ook over een helpdesk om slachtoffers te “helpen”. Lees: ondersteuning bij het bestellen en het overboeken van de Bitcoin. In totaal maakten de broers 1.259 slachtoffers, waarvan 93 het losgeld betaalden. Dat leverde hen iets meer dan 20.000 euro op.

De zaak is nog steeds hangende en het Openbaar Ministerie eist een celstraf van een jaar (waarvan 9 maand voorwaardelijk) en een taakstraf. Uiteraard zullen ze de slachtoffers ook moeten vergoeden. Toch betreft het een vrij lage strafmaat, waarbij men rekening hield met de jonge leeftijd van de broers en het ontbreken van een strafblad.

Strafrechtelijke sanctie bij verspreiden van Ransomware

In voorgaande zaak maakte het Openbaar Ministerie duidelijk dat het verspreiden van Ransomware juridisch gelijkgesteld wordt met afpersen. De strafrechtelijke sanctie voor afpersen is terug te vinden in artikel 317 Wetboek van Strafrecht.

Hierbij heeft men het over een gevangenisstraf van maximaal negen jaar of een geldboete van de vijfde categorie. Die geldboete kan zo oplopen tot 82.000 euro. Het is het centraal Justitieel Incasso Bureau dat de strafrechtelijke boete moet innen. Hiervoor rekenen zij, bovenop de maximale geldboete, eveneens een administratieve kost aan van negen euro.

Gelet op het feit dat de afpersing gebeurde door twee personen, is artikel 312, tweede lid, Wetboek van Strafrecht eveneens van toepassing op hun daden. Hierdoor wordt de maximale gevangenisstraf zelfs verhoogd tot twaalf jaar.

Civielrechtelijke gevolgen van verspreiden van Ransomware

De gevolgen voor het inzetten van Ransomware zijn niet alleen op strafrechtelijk vlak te situeren. De slachtoffers hebben immers ook schade geleden en hebben zij recht op een schadevergoeding. Bovendien kan die schade verschillende domeinen behelzen.

Losgeld en mislopen van beleggingsopportuniteit

In de eerste plaats zijn er de slachtoffers die het losgeld effectief betaalden. Zij hebben uiteraard recht op de terugbetaling van het door hen betaalde bedrag (220 euro). Hier dient echter ieder individueel geval ook individueel bekeken te worden. De terugbetaling van het bedrag van 220 euro volstaat immers indien het slachtoffer louter voor de betaling van het losgeld een Bitcoin aankocht. Indien het echter gaat om een investeerder die op dat moment reeds over Bitcoins beschikte, zal de schade veel groter zijn. Die investeerder heeft immers heel wat inkomsten misgelopen. Zo is de waarde sinds midden 2015 gestegen tot ruim 7.000 euro (juli 2018). Het mislopen van die potentiële inkomsten staat eveneens open voor schadevergoeding.

Aantoonbare materiële schade

Mogelijks is er ook schade geleden ten gevolge van het niet kunnen gebruiken van de computer en de databestanden. Denk maar aan een ondernemer die een volledige dag niet kon werken en zo inkomsten misliep of belangrijke data verloor. Ook eventuele soft- of hardwarematige schade staat voor vergoeding open.

Immateriële schade

Tot slot kan er ook sprake zijn van morele schade. Ook een van de slachtoffers in voorgaande zaak haalde dat aan. De man in kwestie was alle foto’s en video’s van het gezin kwijt. Jarenlang fotomateriaal dat alleen digitaal beschikbaar was, zal hij nooit meer terugzien. De man vatte het als volgt samen: “die schade kan ik niet in geld uitdrukken”.

Toch is dat laatste net wat de rechter wél zal moeten doen, net zoals dat het geval is bij het bepalen van het smartengeld bij verkeersslachtoffers. Hoog zijn dergelijke immateriële schadevergoedingen in Nederland overigens nooit. Echter zal de rechter wel rekening houden met het concrete leed dat het slachtoffer heeft ondergaan. Een symbolische schadevergoeding zal de desbetreffende schade moeten vergoeden en het leed erkennen.

Praktische bekommernissen

In voorgaande situatie hadden de daders een jeugdige leeftijd. Gelet op de vele slachtoffers kunnen we ons vragen stellen met betrekking tot de solvabiliteit van de twee broers. Een vordering blijft nu eenmaal een vordering als het niet in gelde kan worden omgezet.

Dergelijke praktische bekommernissen kunnen er dan ook voor zorgen dat een andere partij in het geding betrokken wordt. Denk bijvoorbeeld aan de websitebeheerder of de mailingdienst via wie de Ransomware zich kon verspreiden. Het bewijzen van diens aansprakelijkheid zal echter niet eenvoudig zijn. Eventuele contracten, algemene voorwaarden en policies kunnen die aansprakelijkheid zelfs (gedeeltelijk) uitsluiten.

Tot slot kent de Nederlandse rechtspraak ook de constructie van de “eigen schuld”, zoals te lezen is in artikel 6:101 Burgerlijk Wetboek. Het niet beschikken over een virusscanner, een up-to-date besturingssysteem en een veilige webbrowser zouden daar voorbeelden van kunnen zijn. Ook dat zou de vordering tegen een derde partij kunnen bemoeilijken. Uiteindelijk zal het de advocaat zijn die de best te bewandelen weg zal uitstippelen. Dat die weg niet eenvoudig is, staat echter buiten kijf.