Cybercriminaliteit
Eerste vormen van internet 1. Cybercriminaliteit omvat zowel misdaden waarbij de computer of een computer netwerk het doelwit zijn van de criminele activiteit (bv. hacking), als bestaande misdrijven waarbij de computer het instrument is om de misdaad te begaan (bv. kinderpornografie), alsook misdaden waarbij het gebruik van de computer maar een incidenteel aspect is van de misdaad, maar waarbij deze wel het bewijs van de misdaad kan leveren (bv. opnames van telefoongespreken).
Artificiële intelligentie (A.I) speelt hierin steeds meer een rol. Phishing ( waarbij criminelen proberen bankgegevens aan slachtoffers te ontfutselen ), ramsonware ( waarbij ze proberen computers of bestanden op slot te zetten en losgeld opeisen) of Whattsapp-fraude ( waarbij vb. gepoogd wordt dat geld gestort wordt voor én of ander doel ), worden steeds meer verfijnd op basis van A.I.
2. De consument geniet enige bescherming. De betalingdienstaanbieder van de betaler dient, in geval van niet toegestane betalingstransactie, uiterlijk op het einde van de volgende werkdag, nadat hij zich rekenschap heeft gegeven van de transactie, uitgezonderd indien de betalingdienstaanbieder redelijke gronden heeft om fraude te vermoeden ( art. VII.43 WER).
Uitzondering is wanneer er sprake is van fraude of opzettelijk gedrag bij de betaler of grove nalatigheid bij miskenning van de verplichtingen voorzien in art VII 38 WER. ( art VII 44 WER).
Hetzelfde artikel omschrijft grove nalatigheid wanneer de betaler zijn gepersonaliseerde veiligheidsgegevens, zoals zijn identificatienummer of enige andere code in een gemakkelijk herkenbare vorm te noteren, op het betaalinstrument of een document bij het instrument bewaard of met het document bij zich draagt, of niet onverwijld zijn bankinstelling te hebben verwittigd van het verlies of de diefstal ( art. VII 44 al 4 WER).
Bij phishing oordeelt het HvB Antwerpen strenger of wordt gekeken wat een normale voorzichtige persoon zou hebben gedaan ( dus bvb. zonder rekening te houden met de leeftijd ) (01).De ondernemingsrechtbank van Leuven meent daartegenover dat bij phishing de bank dient aan te tonen dat het slachtoffer voor de betaling kennis kreeg van het onrechtmatig gebruik (02).Andere oordelen dat grove nalatigheid een overgeeflijke nalatigheid veronderstelt, dat bijna gelijk te stellen is met opzet (03).
3. Deepfake technologie ( zoals het bewerken van beelden op een video ), profiling ( op basis van cookies en andere trackers, het lees- en klikgedrag, potentiële slachtoffers kunnen detecteren -vb een betaalopdracht wordt gestuurd naar een financiële afdeling van een onderneming ), zijn voorbeelden hiervan.
De misdrijven spelen zich af niet enkel op grotere schaal gepleegd worden, men kan zich op het internet ook gemakkelijk anonimiseren.
De operatoren van electronische communicatie of een verstrekker van electrische comunicatie ( Skype, Yahoo, etc.) kunnen verplicht worden bepaalde gegevens van hun verbruikers mede te delen ( identiteit, verkeers-en locatiegegevens, de inhoud van communicatie ), en/of tot het bewaren van gegevens, maar niet op onbeperkte wijze. (1.1)
Anderzijds de loutere omstandigheid dat een communicatieapplicatie werd gedownload of gebruikt volstaat niet als redelijke verdenking, noodzakelijk om iemand in voorlopige hechtenis te nemen ( vereist volgens art. 5 EVRM ) (1.2)
4. Op het niveau van de Europese Unie zijn er dan ook verschillende pogingen ondernomen om de wetgeving inzake computercriminaliteit over de hele regio te harmoniseren, waarbij de belangrijkste realisatie al gedateerd is van 2001 met het Europees Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (ook gekend als het “Verdrag van Boedapest”) dat ontworpen werd in de schoot van de raad van Europa.
Algemeen kunnen 4 soorten misdrijven worden onderscheiden, waarbij algemeen moet worden opgemerkt dat er slechts sprake zal zijn van een inbreuk, wanneer deze inbreuk intentioneel gebeurt en zonder wettelijke basis (een overheid kan bijvoorbeeld wel volledig legitiem beveiligingschecks uitvoeren). Ethische hackers zullen daarom steeds als inbreukplegers aanzien worden, ook al doen zij dit met goede bedoelingen.
5) Inbreuken tegen de confidentialiteit, integriteit en de beschikbaarheid van computer data of computer systemen.
Deze vorm van inbreuk wordt dan nog eens onderverdeeld in verschillende aspecten, zoals daar zijn de (a) illegale toegang en (b) onderschepping, (c) data en (d) systeem inmenging en (e) misbruik van apparaten
a. De illegale toegang tot een computersysteem betreft het louter binnendringen zonder dat daarbij gekeken wordt naar de data op dat systeem. Het inloggen op de computer van iemand anders volstaat daarbij dus al om als inbreuk te worden aanzien, zelfs het surfen op een onbeveiligd wifi-netwerk van een ander persoon zonder diens toestemming. Wanneer een buitenstaander dit doet ( externe hacking) is zelfs geen bijzonder opzet vereist. Bij interne hacking wel, zoals bij overschrijding van toegangsbevoegdheid.
b. Illegale onderschepping van data gaat een stap verder en betreft het zich toegang verschaffen tot een communicatie die gevoerd wordt tussen andere personen. Zo kan een werkgever/andere werknemer zich in principe geen toegang verschaffen tot de communicatie tussen werknemers.
c. Data inmenging betreft het vernietigen, veranderen of onderdrukken van data op een computer of systeem.
d. Systeem inmenging gaat nog een stap verder en betreft werkelijk het saboteren van een computersysteem zodat het niet meer kan functioneren. Er kan hierbij bijvoorbeeld gedacht worden aan een DDOS-attack (Distributed Denial of Service. Met een DDoS aanval maken heel veel computers – vaak vanaf verschillende locaties ter wereld – verbinding met één server. De server is het doelwit: de mensen achter de computers proberen deze server traag te maken of in het ergste geval onbereikbaar te maken. Een dergelijke aanval veroorzaakt men door een server te overspoelen met webverkeer).
e. Bij misbruik van apparaten gaat het bijvoorbeeld om het verkopen of verdelen van instrumenten of software die hacking mogelijk maken.
6) Computer gerelateerde inbreuken zoals (a) fraude en (b) vervalsing
a. Bij fraude gaat het om de manipulatie van een document met als doel een illegale transfer te organiseren, zoals het gebruiken van een gestolen bankkaart.
b. Vervalsing daarentegen is het effectief door middel van een computer of systeem namaken van bepaalde documenten zoals identiteitskaarten of zelfs elektronische handtekeningen. Ook datamanipulatie, met vervalsing van de waarheid (vb. vals profiel op een sociaal netwerksite, of valse berichten op dit profiel ).
7) Inhoud gerelateerde inbreuken.
Deze vorm van inbreuken zijn gerelateerd aan kinderpornografie. Daarbij gaat het van het produceren tot het beschikbaar maken en zelfs tot het bezitten van materiaal dat visueel minderjarigen aantoont in expliciet seksueel gedrag. Het moet dus wel gaan om het zichtbaar maken en gewoon geschreven tekst zal dus niet volstaan om als inbreuk te worden aanzien.
Van belang is evenwel dat wanneer een persoon er uitziet als een minderjarige (en in feite meerderjarig is), er tevens sprake zal zijn van een inbreuk.
Ook virtuele minderjarigen vallen hieronder. Het uitgangspunt is steeds dat wanneer iemand virtuele kinderpornografie zou appreciëren, hij de realiteit ook niet zal afslaan. Men wenst geen enkel risico te nemen.
Electronische berichten die een ernstige vrees doet ontstaan van een aanslag op fysische of morele integriteit of op de individuele vrijheid kan worden aanzien als schiftelijke bedreiging in de zin van art. 327,2de lid SW, zelfs als het niets concreets aankondigt of in de tegenwoordige tijd wordt gedaan (2.1)
Sinds 4.5.2020 is er de wet ter verspreiding van seksueel getinte beelden en opnames, zonder toestemming (art.371/1 §4 SW) ( toestemming tot het maken van opname laat niet de verspreiding toe). Ook hostingsdiensten moeten hiermee rekening houden. Ook de overheid poogt gebruik te maken van AI om misdrijven te detecteren. Predictive policing ( op basis van bepaalde persoons- en situationele kenmerken kan worden voorspeld wie een verhoogd risico heeft te vervallen in criminaliteit ), of cyber agent technology ( een chatbot met de naam Sweetie, uitziend als een Filippijns 10 jarig meisje )(2.2), worden nu al ingezet.
8) Misdrijven gerelateerd aan inbreuken op auteursrecht en naburige rechten.
Dit betreft het illegaal verdelen van auteursrechtelijke beschermde werken op voorwaarde dat dit op commerciële schaal zou plaatsvinden.
9). Er bestaan ook nationale regelingen.
Hacking staat in het Belgisch strafwetboek gedefinieerd als “zichzelf toegang verschaffen tot een informaticasysteem of zich daarin handhaven terwijl je daartoe niet gerechtigd bent” (artikel 504quater Sw.). In Belgie wordt daarbij een onderscheid gemaakt tussen interne en externe hacking. Interne hacking is wanneer u uw toegangsbevoegdheid tot een informaticasysteem overschrijdt. Van buitenaf een systeem aantasten is externe hacking.
In Belgie zal externe hacking altijd strafbaar zijn, terwijl interne hacking enkel strafbaar is als het met kwaad opzet zou gebeuren.
In Groot-Brittannië is elke vorm van toegang tot computers of data strafbaar ongeacht het kwaad opzet, terwijl in Duitsland enkel illegale toegang tot data strafbaar is. Louter toegang tot een computer zal dus niet strafbaar zijn.
10. Wordt je in België geconfronteerd met het effect van een misdrijf, ook al wordt dit georganiseerd vanuit een ander land, dan is er bevoegdheid voor de Belgische autoriteiten.
Zo kan een lidstaat in elk geval en zonder toestemming van een andere lidstaat toegang nemen tot opgeslagen computer data die publiek beschikbaar is. Hieronder valt dus alles wat een persoon zelf op het internet plaatst. Als men het zelf bekendmaakt kan er nooit sprake zijn van een inbreuk op fundamentele rechten.
Een lidstaat kan bovendien ook aan andere lidstaten vragen om op bevel of soortgelijke wijze de opgeslagen computer data te bewaren in afwachting van de administratieve procedure inzake wederzijdse rechtshulp. Zo kan men er tenminste zeker van zijn dat de data niet verloren gaan.
Met de bepaling “op bevel of op soortgelijke wijze” worden andere rechtsmiddelen dan een gerechtelijk of administratief bevel of een onderzoek geviseerd. Men zou bijvoorbeeld kunnen denken aan bewaring op basis van een huiszoeking of een inbeslagname.
Let wel, het gaat niet om een verzoek tot opslaan van bepaalde data.
Enkel kan gevraagd worden om data die reeds opgeslagen werd, hetgeen telkens voor een bepaalde duur gebeurt, wel te bewaren, zodat de informatie niet verloren gaat na verloop van tijd.
Andere mogelijkheden die in het leven werden geroepen zijn het verstrekkingsbevel van bepaalde reeds opgeslagen data, het doorzoeken en in beslag nemen van opgeslagen computer data en de real time vergaring van verkeersgegevens (dit is de communicatie tussen bepaalde personen). Aangezien deze laatste een verregaande inmenging betreft zal dit wel enkel worden toegelaten als het om ernstige inbreuken gaat.
11. De Belgische Cybercrimewet heeft immers meer de focus op technische inbreuken en niet met betrekking tot inhoud gerelateerde inbreuken of inbreuken op intellectuele eigendomsrechten. Anderzijds werden de bepalingen aangaande kinderpornografie wel ondergebracht in artikel 383bis van het Belgisch strafwetboek.
Wat betreft de inbreuken op het auteursrecht of naburige rechten kan verwezen worden naar artikel 80 van de Belgische auteurswet, thans ondergebracht in artikel XI.293 Wetboek Economisch Recht en wat eveneens volstaat om aan de verplichting van de conventie te voldoen.
Op procedureel vlak voorzag de Cybercrimewetgeving al in bepalingen aangaande het doorzoeken en in beslag nemen van opgeslagen computerdata en de bewaring ervan, alsook in bepalingen aangaande het verstrekken van informatie door service providers.
(01) HvB A'pen, 5.11.2020, TBH 2022, afl 2, 220
(02) Orb.Leuven, 23.3.2021, RW 2021-22, afl. 31, p. 1246
(03) Vred.St.Niklaas, 16.9.2022, TBH 2023/2, p. 265
(1.1) Grw.Hof, 22.4.2021n NjW nr 454, 9.1.2022, p.25
(1.2) EHRM, 22.11.2021, Computerrecht 2022/93, p. 206
(2.1) Cass.15.11.2022, RABG 2023/6-7, p. 623
(2.2) B.Custers, Artificiële intelligentie in het strafrecht, Computerrecht 2021/157, p.336