Perceptie strafbaarheid (gepleegde) cyberdelicten

In de literatuur komt naar voren dat vooral jonge daders van cybercriminaliteit in enge zin niet altijd beseffen dat ze strafbare dingen doen en daarmee ook onwetend zijn over de (serieuze) straffen die staan op cyberdelicten, waaronder ook gevangenisstraf (Aiken et al., 2016; Smith, Grabosky, & Urbas, 2004, p. 212). De hackers die onderdeel zijn van een hackergemeenschap lijken daarentegen vaak goed op de hoogte van het doen en laten van andere hackers en van de uitkomst van hun strafproces. Hetzelfde geldt voor financieel gemotiveerde daders (Smith et al., 2004, p. 212).

Een soortgelijk beeld komt uit de expertinterviews naar voren. Waar sommige experts ervan overtuigd zijn dat het tegenwoordig heel duidelijk is waar online de grenzen liggen - dat iedereen (ook een jeugdige) weet ‘dit mag niet’ - spreekt het merendeel van de experts over een groot grijs gebied. Ze stellen dat wat online goed en fout is, niet zo zwart-wit is als in de offline wereld. De experts lijken hierbij uit te gaan van een glijdende schaal. Aan de linkerkant van de schaal heb je de meer onwetende (meestal jonge) daders, die niet of nauwelijks besef hebben van het feit dat ze strafbare dingen doen. Ze weten wel dat zij iets doen dat niet helemaal door de beugel kan of in mindere of meerdere mate ‘fout’ is, maar percipiëren het niet als een strafbaar feit waar (serieuze) juridische gevolgen aan kleven, inclusief een strafblad. Aan de rechterkant van de schaal heb je de meer ‘rationele’ of ‘berekenende’ jonge daders die zich wel degelijk bewust zijn van de strafbaarheid en ook meer kennis hebben van de straf die er op staat. Deze kennis doen ze volgens experts op via (hacker)fora. Daar wordt soms uitgebreid gesproken over straffen die volgen op hacks of het uitvoeren van DDoS-aanvallen. Als het gaat om volwassen daders wordt er door de experts vanuit gegaan dat ze zich meer aan de rechterkant van de schaal bevinden, dus zich wel bewust zijn van de strafbaarheid.

Sommige experts relateren de perceptie van de strafbaarheid ook aan het motief. De jeugdigen bij wie technische uitdaging het centrale motief is, zien niet direct in dat wat zij doen ook strafbaar is en weten niet goed waar de grenzen liggen of zoeken juist de grenzen op. Bij de meer financieel georiënteerde cyberdaders (jeugdig of volwassen) is er volgens de experts minder sprake van variatie waar het gaat om kennis van strafbaarheid. Volgens de meeste experts zijn deze daders zich ten volle bewust van de strafbaarheid van hun delicten en maken zij een rationele afweging, mede ingegeven door de (lage) pakkans, over het plegen van de delicten.

76 De experts dragen verschillende verklaringen aan voor het feit dat een deel van de daders (voornamelijk jeugdigen) zich niet of nauwelijks bewust is van de strafbaarheid van de cyberdelicten die ze plegen. Ten eerste kan er sprake zijn van onduidelijkheid over juridische grenzen, iets dat volgens de experts vooral bij jeugdigen speelt die hacken, waarbij het financiële gewin in mindere mate of minder vaak een rol speelt. Wanneer er geld wordt verdiend met een delict, wordt het echter een ander verhaal. Zo stelt een expert:

Zodra je er geld mee aan het verdienen bent, kun je jezelf niet meer vertellen dat het alleen maar een lolletje en een pretje en een spelletje is. Dan snap je ook echt wel dat je met iets boevigs bezig bent. Die anderen snappen vaak ook wel dat ze een beetje boevig bezig zijn, maar dat kan je nog wegzetten als een spelletje. (Expertinterview 1, Advocaat)

Dit aspect komt ook terug in de verhalen van de geïnterviewde daders die hun delicten vooral pleegden toen ze nog minderjarig waren. Of ze nu e-mailaccounts of hun school hebben gehackt, op medespelers een DDoS hebben uitgevoerd en/of medespelers hebben bestolen in een virtueel spel, ze geven bijna allemaal aan dat zij (als jeugdige) hun cyberactiviteiten vooral als kattenkwaad of iets ‘grappigs’ zagen en zeker niet als het willens en wetens overtreden van de wet of als iets ernstigs. Ook het spelelement, “het was maar een spelletje” wordt frequent genoemd. Als er echter afpersing, oplichting of (aanzienlijk) financieel gewin in het spel is (geweest), dan is het voor de meeste respondenten duidelijker (ook voor jeugdigen) dat er sprake is van strafbaar gedrag.

In het kader van onduidelijkheid over de juridische grenzen komt het thema responsible

disclosure (RD)70 in verschillende expert- en daderinterviews aan bod. Sommige daders zouden volgens experts bijvoorbeeld in de veronderstelling kunnen zijn dat je zomaar alle systemen kunt hacken zolang je het lek achteraf maar meldt. Ze denken dan ethisch bezig te zijn, maar richten (grote) schade aan. RD staat daarnaast niet op elke website vermeld, wat het volgens sommige experts lastig in te schatten maakt voor jeugdigen of het mag en dan wel ‘toch een beetje grijs’ is. Ook volgens een medewerker van het OM is er nog een ‘wereld te winnen’ in het uitleggen van wat ethisch hacken is en wat het RD-beleid inhoudt.

Ook enkele daders geven aan dat er onduidelijkheid bestaat over RD bij henzelf en bij anderen om hen heen. Ze ervaren daarbij soms dat de overheid of de samenleving het risico van beveiligingslekken of fouten (bijvoorbeeld in websites) onderschat. Zo legt een dader uit:

Als jij een bommelding maakt van jij hebt een bom gevonden, dan staat wel iedereen te springen, van waar is het. En een fout in je website is net als een tijdbom. Er komt een dag dat iemand het vindt en er misbruik van maakt. (Daderinterview 9)

70

Responsible Disclosure (RD) betreft het “binnen de ICT-wereld (...) op een verantwoorde wijze en in gezamenlijkheid tussen

melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis van een door organisaties hiervoor vastgesteld beleid voor responsible disclosure” (NCSC, 2013, p. 5). Dit beleid is echter sinds 2018 gewijzigd, volgens de nieuwe Leidraad van het NCSC (2018) omdat RD “nog te veel nadruk legt op de verantwoordelijkheid van de melder, terwijl het uitgangspunt is dat er een gelijkwaardig gesprek ontstaat tussen melder en mogelijk kwetsbare organisatie. Dit sentiment wordt beter gevat in de huidig gangbare term coordinated vulnerability disclosure (CVD)”.

77 Dit citaat laat ook heel duidelijk zien dat sommige (ethische) hackers het ontdekken van lekken van levensbelang achten en daarbij ook sterk het gevoel hebben dat de buitenwereld de ernst van beveiligingslekken flink onderschat.

Daar komt nog bij dat, ook wanneer het lek wel netjes (volgens de regels van RD) wordt gemeld, er volgens een expert (Expertinterview 4, Onderzoeker) nog geen garantie bestaat dat een hacker “geen strafzaak aan zijn broek krijgt”. Het OM kan volgens een expert eigenstandig besluiten om een onderzoek in te stellen om te kijken hoe bepaalde dingen zijn verlopen. Door deze onduidelijkheid met betrekking tot de juridische grenzen kun je volgens een van de daders juist ook terughoudend worden met het melden van lekken, en dan juist het risico lopen om vervolgd te worden. Zo legt hij uit: “Wel melden of niet melden. Wel melden kan resulteren in een taakstraf of weet ik veel wat. Niet melden en als ze er dan achter zijn gekomen ben je de lul” (Daderinterview 4).

Naast de onduidelijkheid over waar in juridische zin de online grenzen liggen, spelen nog een aantal andere aspecten een rol bij de perceptie van strafbaarheid. Zo kan de perceptie van de strafbaarheid volgens de experts samenhangen met de perceptie van de schade, waar in paragraaf 5.3 nader op wordt ingegaan. Als een dader niet het gevoel heeft dat hij iemand pijn doet of grote schade berokkent, voelt het ook niet als ‘criminaliteit plegen’ en als iets waar een (serieuze) straf op staat. Zoals een advocaat stelt: het voelt als lol maken in plaats van dat ze beseffen “dat wat ze doen moreel verwerpelijk is” (Expertinterview 1, Advocaat).

Ten slotte wordt door de experts gewezen op het principe dat er steeds een deurtje verder open gaat. Als de dader van het een op andere moment een serieus feit zou plegen zou hij of zij zich sneller bewust zijn van de strafbaarheid, dan wanneer de dader steeds een klein stapje verder gaat en daar dan ook nog steeds mee wegkomt. Verscheidene daders wijzen in dit kader ook nog op het gemak. Een dader geeft aan dat het hem verbaast dat iets dat niet mag (althans als het gaat om de cyberdelicten waar hij bij betrokken was) zo gemakkelijk is, waardoor je er sneller instapt. Hij doelt hierbij op de eenvoudige vindbaarheid van (illegale) fora via Google en het feit dat deze publiek toegankelijk zijn, terwijl er op grote schaal discussie plaatsvindt over hoe online delicten te plegen.

Op basis van onze bevindingen kan dus worden gesteld dat om verschillende redenen nog onduidelijkheid heerst over waar de grenzen liggen van wat wel en niet strafbaar is, een aspect dat meer lijkt te spelen bij cybercriminaliteit in enge zin dan bij traditionele criminaliteit. Tegelijkertijd zien we in de daderinterviews ook terugkomen dat een deel van de daders, ook als zij de door hen gepleegde delicten als kattenkwaad bestempelen, diverse maatregelen hebben genomen om hun anonimiteit te waarborgen en/of om buiten schot te blijven (zie ook paragraaf 5.2 en hoofdstuk 6), wat lijkt te impliceren dat deze daders zich toch wel deels bewust waren van de strafbaarheid van hun gedragingen. Ook de daders zelf leggen een koppeling tussen de perceptie van de strafbaarheid/kwade intentie en het wel/niet nemen van beveiligingsmaatregelen. Zo geeft een dader aan dat hij zijn computer niet goed had beveiligd en de delicten ook onder zijn eigen naam heeft gepleegd, wat volgens hem laat zien dat hij er niet bij stilstond hoe fout het was. Een andere dader heeft door tijd heen meer maatregelen genomen naarmate zijn intentie veranderde. Zo legt hij uit:

Ik had alles veilig gedaan behalve de eerste aanval, omdat ik toen geen intentie had. Ik had niet de intentie om het [systeem] te hacken en het helemaal te exploiten en zo. Ik had dus

78 geen VPN71 gebruikt in het begin. Daarna had ik het wel gebruikt, zodat ze me nooit konden terug tracen. (Daderinterview 7)