De digitale revolutie heeft gevolgen gehad voor criminelen die hun activiteiten steeds vaker online ontplooien. Jaar na jaar stijgen de cybercriminaliteitscijfers. Het is echter pas sinds begin dit millennium dat cybercriminaliteit specifiek strafbaar is gesteld in België. Hieronder focussen we op deze problematiek en hebben we het in het bijzonder over de wet van 28 november 2000 inzake informaticacriminaliteit. Het is namelijk deze wet die ons strafrecht klaar heeft gemaakt voor de online uitdagingen van de 21ste eeuw.
Steeds meer mensen worden slachtoffer van cybercriminaliteit
Het aantal gevallen van cybercriminaliteit zit al jaren in stijgende lijn. In 2019 werden er nog 32.943 gevallen geregistreerd door de politie. Dit was een stijging met 29,2% ten opzichte van een jaar voordien. Voor 2020 zijn er nog geen definitieve cijfers, maar het is alvast duidelijk dat corona de digitale criminaliteit heeft doen pieken. Vooral de toename van ransomware is opvallend.
Het zorgt ervoor dat steeds meer mensen, en dan gaat het niet alleen om bedrijven maar ook om particulieren, kiezen voor een cyberverzekering. Zo’n cyberverzekering biedt namelijk niet alleen bijstand bij cyberaanvallen of datalekken, maar dekt ook de schade aan het netwerk en zelfs het verlies van geld op je bankrekening.
Voorgeschiedenis van de wet van 28 november 2000 inzake informaticacriminaliteit
Geheel nieuw is cybercriminaliteit natuurlijk niet. De zaak-Bistel uit 1988 was bijvoorbeeld de eerste maal dat een computerinbraak in België werd bestraft. Toen had een ex-overheidsmedewerker zich toegang verschaft tot het BISTEL-systeem (Belgian Information System by Telephone). Dit systeem werd gebruikt om data uit te wisselen tussen de verschillende kabinetten en was onvoldoende beveiligd. De ex-medewerker had namelijk gewoon het opgevangen wachtwoord van premier Wilfried Martens (“W.M. Wetstraat”) gebruikt. Hierdoor kon hij onder meer de mailboxen inkijken en de agenda van de ministerraad aan de pers doorspelen. Men kwam toen voor heel wat problemen te staan toen men de verdachte wilde veroordelen. Zo kon de verdachte niet veroordeeld worden voor valsheid in geschrifte, omdat het Hof van Beroep vond dat een toegangscode geen geschrift is. Het toonde aan dat de Belgische wetgeving niet aangepast was aan deze nieuwe vorm van criminaliteit.
Dit vermoeden werd later bevestigd met de ReDaTtAcK-zaak. Hierbij had een man onder de alias ReDaTtAcK, nog vaak de patroonheilige van de hackers genoemd, diverse sites gehackt. Zo had hij toegang gekregen tot Generale Bank-bestanden en had hij deze bestanden aan de pers overgeheveld. Hij deed dit met de belofte dat hij ze voor zichzelf had vernietigd. Hij werd toen vrijgesproken voor het hacken van de Generale Bank omdat de verworven informatie geen telecommunicatiegegevens waren en hij niet volgens de telecomwet kon worden bestraft.
Het was in 1999 dat er echt stappen werden gezet naar een wetgevend kader. Tony Van Parys, de toenmalige minister van Justitie, had toen een voorontwerp van wet in de Kamer ingediend. In 2000 werd het door de Kamer goedgekeurd, maar vervolgens werd het door de Senaat geëvoceerd en geamendeerd. Zo duurde het uiteindelijk tot 3 februari 2001 vooraleer de wet van 28 november 2000 inzake informaticacriminaliteit in het Belgisch Staatsblad werd gepubliceerd.
Gevangenisstraffen en geldboetes bij cybercriminaliteit
Het is dus de wet van 28 november 2000 inzake informaticacriminaliteit die voor het eerst concrete vormen van cybercriminaliteit strafbaar heeft gesteld. Het bestraft valsheid in informatica, informaticabedrog, ongeoorloofde toegang en informaticasabotage. Hieronder zijn deze vier concrete vormen besproken. Uiteraard zijn er nog heel wat andere manieren waarop we ons op het internet kunnen misdragen, gaande van online pesten tot online negationisme. Deze online misdrijven worden op ander gronden bestraft.
Valsheid in informatica
Allereerst werd valsheid in informatica in het Strafwetboek ingeschreven (artikel 210bis Sw.). Dit is de online variant op het klassieke valsheid in geschrifte. Het bestraft het opzettelijk vervalsen via datamanipulatie, bijvoorbeeld door een digitale handtekening na te maken. Dit wordt bestraft met een gevangenisstraf van zes maanden tot vijf jaar en/of een geldboete van 26 euro tot 100.000 euro. Ook pogingen worden gestraft, maar dan met een gevangenisstraf van zes maanden tot drie jaar en/of een geldboete van 26 euro tot 50.000 euro.
Informaticabedrog
Een tweede bepaling die werd ingevoerd, is deze omtrent informaticabedrog (artikel 504quater Sw.). Deze bepaling bestraft personen die onrechtmatige vermogensvoordelen hebben verworven via datamanipulatie. Vereist is dat men met bedrieglijk opzet of met de bedoeling om te schaden handelt. Een vermogensvoordeel is in ieder geval nodig. Het gaat dus niet om een student die inbreekt op de computer van een leerkracht om het resultaat van zijn toets te vervalsen. Informaticabedrog wordt op dezelfde manier gestraft als valsheid in informatica. Ook de poging tot informaticabedrog is strafbaar op dezelfde manier.
Een voorbeeld van een zaak waarbij er van informaticabedrog werd gesproken, is de Orange-zaak. Bij deze zaak werd er grootschalige fraude gepleegd met de prepaykaarten van Orange, waardoor mensen gratis konden bellen. Er was toen sprake van een miljoenenverlies.
Ongeoorloofde toegang
Vervolgens werd ook ongeoorloofde toegang in het Strafwetboek ingeschreven (artikel 550bis Sw.). Hierbij gaat het om de zogenaamde hacking tot informaticasystemen. Er wordt een onderscheid gemaakt tussen interne hacking (iemand met een toegangsbevoegdheid die zijn toegangsbevoegdheid overschrijdt) en externe hacking (iemand zonder toegangsbevoegdheid die zichzelf toegang verschaft).
Bij interne hacking is een bijzondere opzet vereist. Wie zich hieraan schuldig maakt, riskeert een geldboete van zes maanden tot drie jaar en/of een geldboete van 26 euro tot 25.000 euro.
Bij externe hacking is een bijzondere opzet niet vereist. Er is voorzien in een gevangenisstraf van zes maanden tot twee jaar en/of een geldboete van 26 euro tot 25.000 euro. De wetgever tilt dus zwaarder aan een intern iemand die misbruik maakt van het vertrouwen dat hem is gegeven (hij riskeert een zwaardere straf). Echter, de wetgever trekt de maximumstraf van externe hacking op tot hetzelfde niveau als bij interne hacking wanneer er sprake is van bedrieglijk opzet. Omdat dit vrijwel altijd het geval is, is de strafbaarheid de facto toch identiek.
Verder voorziet dit artikel ook in andere verzwarende omstandigheden waaraan zwaardere straffen worden gekoppeld, zoals bedrijfsspionage of heling. Het meest opvallende is echter dat de opdrachtgever (gevangenisstraf van max. 5 jaar) zwaarder wordt gestraft dan de dader. Dit komt omdat achter de uitvoerders, vaak computerfreaks die er een habbekrats mee verdienen en bij wie de drijfveer eerder een kick is, veelal grote criminele netwerken verscholen gaan.
Informaticasabotage
Ten slotte voerde de wet het artikel 550ter Strafwetboek in. Dit artikel bestraft informaticasabotage. Hierbij verschaft men zich niet per se toegang tot een systeem en heeft men niet automatisch geldgewin voor ogen, maar de gegevens worden wel gewijzigd, gewist of aangepast. Een voorbeeld hiervan is het maken en verspreiden van virussen waardoor informaticasystemen onbruikbaar worden. Dit wordt bestraft met een geldboete van 26 euro tot 25.000 euro en/of een gevangenisstraf van zes maanden tot drie jaar. Wanneer er niet alleen schade wordt toegebracht aan de data, maar ook aan het systeem zelf, is er in een strengere sanctie voorzien.