Uit de bevindingen van het jaarlijkse rapport van Europol blijkt dat phishing één van de belangrijkste krachten achter onlinebetalingsfraude is.1 Uit ditzelfde rapport blijkt eveneens, dat phishing jaarlijks toeneemt in zowel omvang, als in sluwheid. Ook worden steeds vaker verschillende vormen van kunstmatige intelligentie (hierna: KI) ingezet om de benodigde phishingberichten nog geloofwaardiger te maken. Met als gevolg, dat het slachtoffer steeds moeilijker ‘echt’ van ‘nep’ weet te onderscheiden.2

A/B-optimalisatie is een dergelijke vorm van KI die steeds vaker door cybercriminelen wordt ingezet om de geloofwaardigheid van een phishingbericht te vergroten.3 Misbruik van de voornoemde vorm van KI voor criminele doeleinde blijft in de literatuur dan ook niet onopgemerkt. Zo stelt Custers in zijn artikel over KI in het strafrecht de vraag of er redenen zijn om A/B-optimalisatie voor criminele doeleinde strafbaar te stellen.4

Hoewel het schrijven van een A/B-optimalisatiecode op zichzelf geen strafbaar feit behelst, draagt deze gedraging wel bij aan de bovengenoemde problematiek: door het optimaal gegenereerde phishingbericht wordt de phisher immers beter in staat gesteld het slachtoffer op te lichten. Mijns inziens vormt dit argument een goede reden om A/B-optimalisatie voor criminele doeleinde strafbaar te stellen.

Nu een aparte strafbepaling voor het schrijven van een A/B-optimalisatiecode voor phishingdoeleinde ontbreekt, is het de vraag of strafbaarheid in de voorfase wellicht soelaas biedt, of dat deze gedraging toch een eigenstandige strafbaarstelling behoeft. Meer in het bijzonder staat in deze bijdrage de vraag centraal in hoeverre het schrijven van een A/B-optimalisatiecode voor phishingdoeleinde gekwalificeerd kan worden als strafbare poging naar respectievelijk Nederlands en Europees recht.

Daartoe zal eerst kort uiteen worden gezet hoe A/B-optimalisatie voor phishingdoeleinde wordt gebruikt (paragraaf 2). Vervolgens zal aandacht worden besteed aan de vraag wat phishing feitelijk precies inhoudt, wat de modus operandi behelst en hoe dit fenomeen juridisch voor deze bijdrage geduid zal worden (paragraaf 3). Ten slotte zal een antwoord worden gevormd op de vraag in hoeverre het schrijven van een A/B-optimalisatiecode voor phishingdoeleinde kwalificeert als strafbare poging naar Nederlands recht (paragraaf 4), en in hoeverre deze kwalificatie opgaat onder Europees recht (paragraaf 5). Deze bijdrage resulteert in een afsluiting (paragraaf 6).

A/B-optimalisatie voor phishingdoeleinde

Toepassing van A/B-optimalisatie voor phishingdoeleinde vindt als volgt plaats. De slachtoffers worden op gedeeld in twee groepen. De ene groep krijgt scherm A te zien, terwijl de andere scherm B te zien krijgt. Beide schermen kennen slechts een enkel verschil, bijvoorbeeld een andere achtergrondkleur of een verschil in teint van het gebruikte logo, etc. Bij zowel variant A als variant B wordt vervolgens het één en ander gemonitord, waaronder de tijd die slachtoffers besteden aan het bekijken van het phishingbericht. Als blijkt dat versie B betere resultaten oplevert dan versie A, wordt die laatste versie verworpen en wordt doorgegaan met het gebruik van variant B. Door dit herhaaldelijk, in groten getale toe te passen, wordt een optimaal resultaat bereikt: de voor slachtoffers meest verleidelijke manier van informatie aanbieden.

Het is van belang te vermelden dat A/B-optimalisatie niet handmatig plaatsvindt. Het betreft het gebruik van een zelf-lerend algoritme dat bepaalde verbanden blootlegt, zelf variaties creëert in de lay-out van een website of in de tekst van een phishingbericht. Zo wordt de optimale informatie vervolgens via algoritmische besluitvorming op een bepaalde manier aangeboden aan de potentiële slachtoffers.5

Het gevolg van het bovenstaande is dat cybercriminelen steeds beter in staat zijn om hun potentiële slachtoffers te overtuigen op een link te klikken of om bijvoorbeeld direct geld over te maken, nu de schermen die de slachtoffers te zien krijgen steeds moeilijker van ‘echt’ te onderscheiden zijn. Kortom: door het gebruik van zelflerende algoritmen kan de phisher zijn modus operandi steeds verder perfectioneren.6

Voor deze bijdrage zal onder het schrijven van een A/B-optimalisatiecode voor phishingdoeleinde worden verstaan: het schrijven van een zelf-lerend algoritme dat middels A/B-optimalisatie een optimaal phishingbericht voor de cybercrimineel genereert.

Phishing in het strafrecht

Wat is phishing?

Phishing staat oorspronkelijk voor ‘password harvesting fishing’.7 In de literatuur komen verschillende definities van phishing voor. De strekking is echter steeds hetzelfde: het via internet achterhalen van vertrouwelijke gegevens van gebruikers om daarmee te frauderen of op te lichten.8 Ook kent phishing veel verschillende verschijningsvormen, zoals smishing, een vorm van phishing via sms-berichten. Aan phishing ligt verder het principe ten grondslag, dat er wordt gestreefd naar een communicatievorm die niet van echt te onderscheiden is.10

Klassieke phishing: de modus operandi

Hoewel er verschillende vormen van phishing denkbaar zijn, zal deze bijdrage zich beperken tot  de ‘klassieke vorm’ van phishing. Dit is de vorm waarbij een cybercrimineel (de phisher) door middel van niet van echt te onderscheiden communicatie (e-mail) een nietsvermoedend slachtoffer laat denken te maken te hebben met een bonafide instelling (een bank, de overheid, etc.) in plaats van met een phisher, waardoor vertrouwelijke gegevens bekend worden gemaakt aan laatstgenoemde. In de klassieke vorm worden vooral e-mails gebruikt om het slachtoffer tot een bepaalde handeling te verleiden. Het is een ‘man-in-the-middle’-techniek waarbij de phisher zich ten opzichte van het slachtoffer voordoet als de website van de bonafide instelling.11

De modus operandi van klassieke phishing kan in de volgende stappen worden weergegeven.12 Hoewel deze volgorde logisch is, is deze niet dwingend. Voorts kan er een tweedeling worden gemaakt in deze modus operandi van de stappen vóór het benaderen van het slachtoffer en de stappen ná de benadering van het slachtoffer.

Vóór benadering van het slachtoffer vinden de volgende stappen plaats. Allereerst bepaalt de phisher zijn doelwit (1). Vervolgens vindt het ontwerpen van webdocumenten en websites plaats (2). De derde stap behelst het verkrijgen van de benodigde technische hulpmiddelen (3). Voorts moet er een domeinnaam gemaakt worden.

Deze is nodig om slachtoffers te misleiden en hun internetverkeer om te leiden naar een neppe website (4). Om voornoemde domeinnaam toegankelijk te laten zijn, moet de website wel ergens op een internetserver worden gehost: de vijfde stap bestaat dan ook uit het hosten van een internetserver (5). De laatste stap is het uploaden van de neppe website (6). Vanaf dat moment staat de website klaar om slachtoffers te ontvangen. Stap zeven bestaat uit het daadwerkelijk benaderen van de beoogde slachtoffers. Dit doet hij door gebruik van faciliteiten van derden om zelf buiten schot te kunnen blijven (7). Na benadering van het slachtoffer vinden de volgende stappen plaats. De achtste stap bestaat uit het wachten op slachtoffers die op de phishingsmail ingaan en bijvoorbeeld hun persoonlijke gegevens van de bank op de neppe website intypen (8). Vervolgens ‘hengelt’ de phisher de gegevens binnen(9). Daarna misbruikt de phisher de gegevens door bijvoorbeeld een bankrekening leeg te halen of deze gegevens aan derden te verkopen (10). Hierbij zal hij gebruik maken van zogeheten ‘katvangers’: betalingsopdrachten verricht hij niet met zichzelf als begunstigde, maar op de rekening van een derde (11). In de laatste stap sluist de phisher het geld middels een ‘money transfer’ door naar zijn eigen rekening (12).

Strafbaarstelling van phishing naar Nederlands recht

‘Computer-gerelateerde fraude’ valt in Nederlands recht binnen de termen van oplichting (artikel 326 Sr.), valsheid in geschrifte (artikel 225 en 226 Sr.), vervalsen van betaal- en waardekaarten (artikel 232 Sr.) of identiteitsmisbruik (artikel 231b Sr.).13 Phishing in het bijzonder heeft ten doel identiteitsdiefstal. Identiteitsfraude heeft in Nederland geen eigen bepaling in de strafwet. Wanneer met behulp van het aannemen van een valse naam of hoedanigheid iemand wordt bewogen tot het ter beschikking stellen van gegevens, valt phishing echter onder oplichting (artikel 326 Sr.).14 Deze bijdrage zal zich beperken tot de klassieke phishingsvorm en deze plaatsen in het strafrechtelijk kader van oplichting ex artikel 326 Sr.

Strafbaarstelling van phishing naar Europees Recht

Op Europees niveau zijn voor deze bijdrage de artikelen 4 en 5 van Richtlijn 2019/713/EU  van belang, betreffende de bestrijding van fraude met, en vervalsing van niet-contante betaalmiddelen. Artikel 4 van de richtlijn verplicht de lidstaten tot het treffen van de nodige maatregelen om bepaalde gedragingen in verband met het frauduleus gebruik van fysieke niet-contante betaalinstrumenten strafbaar te stellen, aldus de Memorie van Toelichting op de implementatie van de richtlijn.15

In artikel 5 van de richtlijn wordt gesproken over dezelfde gedragingen, maar dan gepleegd ten aanzien van elektrische betaalinstrumenten. Onderdeel a van beide bepalingen ziet op het zich wederrechtelijk toe-eigenen van een niet-contant betaalinstrument. Dit betekent dat het verkrijgen van creditcardgegevens door phishing onder de strafbaarstellingsverplichting van de richtlijn valt. Volgens de wetgever is een aparte strafbepaling voor phishing echter niet nodig, nu het iemand bewegen tot het ter beschikking stellen van gegevens reeds in artikel 326 Sr is geregeld. Het verkrijgen van gegevens door middel van phishing is aldus strafbaar gesteld op grond van artikel 326.16

Hiermee wordt aangesloten bij een visie van de geëigende informaticacriminaliteit. Deze visie gaat ervan uit, dat het klassieke strafrecht in principe voldoende flexibel is om zich aan te passen aan de digitalisering. De online misdrijven, zoals phishing, zijn in deze opvatting slechts een vertaling van de klassieke offline misdrijven door middel van informaticamiddelen.17

De strafbare poging tot phishing: het Nederlandsrechtelijk perspectief

Poging tot phishing überhaupt mogelijk?

Als uitgangspunt dient te gelden, dat artikel 45 Sr. van toepassing is op ieder misdrijf, tenzij dit wettelijk is uitgesloten, zoals in bijvoorbeeld artikel 300 lid 5 Sr.18

Een poging vereist een misdrijf en een voornemen van de dader die moet blijken uit een begin van uitvoering.19 Het antwoord op de vraag of sprake is van een begin van uitvoering, is in grote mate afhankelijk van de keuze van de grondslag voor strafbaarstelling van de poging. Zo kan dezelfde gedraging voor misdrijf A een uitvoeringshandeling zijn, terwijl deze voor misdrijf B als voorbereidingshandeling kwalificeert. De accessoriteit van de poging brengt dan ook met zich dat de pogingsvoorwaarden worden ingekleurd door de uitleg van het gekozen grondmisdrijf.20 Voor deze bijdrage zal de poging tot phishing voor het Nederlandsrechtelijk perspectief geplaatst worden in het licht van het gronddelict oplichting ex artikel 326 Sr.

Begin van uitvoering: de uiterlijke verschijningsvorm

In twee arresten van 30 maart 2021 heeft de Hoge Raad overwogen dat:21

‘Voor een strafbare poging is vereist dat er gedragingen zijn verricht die kunnen worden beschouwd als een begin van uitvoering van het voorgenomen misdrijf. Dat is het geval bij gedragingen die naar hun uiterlijke verschijningsvorm zijn gericht op de voltooiing van het voorgenomen misdrijf. De vraag of sprake is van zulke gedragingen, laat zich niet in algemene zin beantwoorden. Het komt aan op een beoordeling van de concrete omstandigheden van het geval. Algemene regels kunnen daarvoor niet worden gegeven.’

Wel kan volgens de Hoge Raad uit eerdere rechtspraak worden afgeleid, dat een belangrijke beoordelingsfactor is hoe dicht de vastgestelde gedragingen bij de voltooiing van het voorgenomen misdrijf lagen, bijvoorbeeld in tijd en plaats, en hoe concreet deze daarop waren gericht. De aard van het misdrijf kan tenslotte van belang zijn, maar het is niet noodzakelijk dat al een bestanddeel van het misdrijf is vervuld.22

Nu het aankomt op een beoordeling van de concrete omstandigheden van het geval, stellen Lindenberg & Wolswijk terecht dat van delict tot delict gekeken moet worden wat de karakteristieke handelingen zijn die voldoende zijn om tot strafbare poging te concluderen. Het criterium van de uiterlijke verschijningsvorm (Cito-criterium) biedt hiervoor slechts een beperkt houvast. Zij halen hierbij het voorbeeld van de oplichting aan. Zo stellen zij dat een goed in elkaar zittende oplichting juist bestaat uit handelingen die niet voor waarnemers herkenbaar zijn als te zijn gericht op de oplichting.23 Over de verhouding tussen, en de toepasselijkheid van het Cito-criterium en de formulering van de wettelijke strafbepaling stellen zij voorts dat bij een aantal misdrijven niet zozeer het Cito-criterium, als wel de wettelijke formulering van het delict van doorslaggevende betekenis zou moeten zijn. Volgens Lindenberg & Wolswijk bieden sommige delictsomschrijvingen nu eenmaal goed bruikbare aanknopingspunten voor het bepalen van het begin van de ‘pogingsfase’, wat bij oplichting het geval is.24

Arendse bespreekt in haar dissertatie ten slotte welke omstandigheden bij oplichting mogelijkerwijs een rol kunnen spelen bij de invulling van de uiterlijke verschijningsvorm.25 Zij bespreekt daartoe een drietal arresten en leidt hieruit de volgende omstandigheden af die mogelijk relevant zijn voor de beantwoording van de vraag of sprake is van een gedraging die naar uiterlijke verschijningsvorm is gericht op voltooiing van het misdrijf oplichting.26 Ten eerste noemt zij het feit dat er oplichtingsmiddelen zijn aangewend of aanwezig zijn. Als tweede omstandigheid noemt zij het feit dat het beoogde slachtoffer daadwerkelijk benaderd is. Tenslotte noemt zij het bewezenverklaarde voornemen van de verdachte als mogelijk relevante omstandigheid.27

Het schrijven van een A/B-code voor phishingdoeleinde: een strafbare poging naar Nederlands recht?

Uit het in 4.2 geschetste kader bleek dat van delict tot delict onderzocht moet worden wat de karakteristieke handelingen zijn die voldoende zijn om tot een voor strafbare poging vereiste begin van uitvoering te concluderen. Volgens Lindenberg & Wolswijk brengt de aard van het misdrijf oplichting met zich dat een goed in elkaar zittende oplichting bestaat uit handelingen die niet voor waarnemers herkenbaar zijn als te zijn gericht op de oplichting.28 De vraag is dus of het schrijven van een A/B-optimalisatiecode voor phishingdoeleinde als poging tot dergelijke handelingen kwalificeert.

Uit paragraaf 2 bleek reeds dat een A/B-optimalisatiecode een zelf-lerend algoritme betreft dat zelf variaties creëert in de lay-out of de tekst van een phishingbericht, teneinde het phishingbericht nog geloofwaardiger te maken. Uit paragraaf 2 bleek ook dat deze optimalisatie enkel mogelijk is indien er een monitoring plaatsvindt: als versie B beter blijkt te werken dan versie A, ‘wint’ B het van A, en gaat het zelflerende algoritme verder met deze versie en creëert zelf variaties in de lay-out van de tekst van versie B, en herhaalt vervolgens dit proces. Monitoren is echter enkel mogelijk, indien beide versies van de phishingberichten ook daadwerkelijk verzonden zijn. Als er geen phishingberichten verzonden worden, kan de A/B-code ook niets monitoren en dus ook niet tot een optimalisatie komen.

In dat licht kan het gebruik van die code worden gezien als een poging van de phisher om tot een optimale oplichting te komen, waarbij het slachtoffer geen vermoeden ontwikkelt omtrent de mogelijke aanwezigheid van een oplichting.

Deze redenering sluit ook aan bij de door Arendse genoemde omstandigheden die mogelijkerwijs een rol kunnen spelen bij de voor poging tot oplichting vereiste invulling van de uiterlijke verschijningsvorm. Dit betreft de omstandigheid dat de verdachte het slachtoffer ook daadwerkelijk heeft benaderd.

Zo bezien, is het dan ook maar de vraag of het schrijven van een A/B-optimalisatiecode ook een benadering van het slachtoffer impliceert. Een bevestigend antwoord ligt niet voor de hand. Hoewel uit de in paragraaf 3.2 genoemde modus operandi volgt dat de phisher vóór het schrijven van een dergelijke code weliswaar bedacht heeft wie zijn doelwit zal worden (stap 1), is een benadering van dat doelwit echter niet noodzakelijk en daarnaast ongewenst. Uit de modus operandi bleek immers dat de phisher tot aan de benadering van het slachtoffer juist zo veel mogelijk buiten beeld tracht te blijven.

Nu met het enkele schrijven van een A/B-optimalisatiecode nog geen daadwerkelijke benadering van het potentiële slachtoffer plaatsheeft, en de phisher dus ook nog niet tot een monitoring en optimalisering van de gebruikte phishingberichten kan komen, kwalificeert deze gedraging naar uiterlijke verschijningsvorm niet als een strafbare poging om tot een optimale oplichting te komen ex artikel 45 jo. 326 Sr.

De strafbare poging tot phishing naar Europees recht

Poging tot phishing in het licht van Richtlijn 2019/713/EU

Uit paragraaf 3.5 bleek reeds dat de artikelen 4 en 5 van Richtlijn 2019/713/EU betreffende de bestrijding van fraude met, en vervalsing van niet-contante betaalmiddelen (hierna: de richtlijn)  van belang zijn voor de strafrechtelijke duiding van phishing naar Europees recht. De vraag die in deze paragraaf centraal staat, is of, en zo ja, op welke wijze deze richtlijn voorziet in de strafrechtelijke duiding van een poging tot phishing. In dat licht is artikel 8 lid 2 van de richtlijn nog van belang.

Allereerst dient echter een nadere blik geworpen te worden op de term ‘gedraging’ in de zin van de artikelen 3-6 van de richtlijn. Uit de Memorie van Toelichting bij de implementatie van de richtlijn (hierna: de Memorie van Toelichting) blijkt dat voor een ‘gedraging’ — ex artikelen 3-6 van de richtlijn — niet vereist is dat verdachte met zijn gedraging ook daadwerkelijk geldmiddelen heeft verworven voor zichzelf of voor derden. Wel is vereist dat verdachte gehandeld heeft met een frauduleus oogmerk, hetgeen geen betrekking hoeft te hebben op de gehele delictsomschrijving, maar slechts op de wederrechtelijke bevoordeling. Het gevolg hoeft, kortom, niet daadwerkelijk te zijn ingetreden.29 Voornoemde vloeit overigens ook voort uit overweging 13 van de richtlijn:

‘Gedragingen als het verzamelen (…) van betaalinstrumenten met het oogmerk fraude te plegen door middel van bijvoorbeeld phishing (…) moeten dus eigenstandige strafbare feiten worden, zonder dat daarvoor het daadwerkelijk frauduleus gebruik van niet-contante betaalmiddelen vereist is.’

In artikel 8 lid 2 van de richtlijn is vervolgens bepaald dat de lidstaten de nodige maatregelen nemen opdat een poging tot het plegen van een in artikel 4 onder a en artikel 5 onder a (het wederrechtelijk toe-eigenen van respectievelijk een materieel en immaterieel betaalinstrument) strafbaar wordt gesteld. De Memorie van Toelichting stelt dat de poging tot een misdrijf reeds strafbaar gesteld is in het algemene pogingsartikel 45 Sr. Een poging tot de misdrijven genoemd in de artikelen 4 en 5 van de richtlijn, zijn volgens de Nederlandse wetgever aldus strafbaar.30

De vraag die na een nadere bestudering van Richtlijn 2019/713/EU en diens implementatie rijst, is of de verwijzing naar het algemene pogingsartikel 45 Sr in de context van de in deze bijdrage centraal staande gedraging volstaat. In andere woorden, dient artikel 8 lid 2 jo. artikel 4 onder a jo. artikel 5 onder a van deze richtlijn in de context van de in deze bijdrage centraal staande gedraging inderdaad vertaald te worden naar artikel 45 jo. artikel 326 Sr? Of, dient deze gedraging op basis van Richtlijn 2019/713/EU toch beter een eigenstandig strafbaar feit te worden?

Het schrijven van een A/B-optimalisatiecode voor phishingdoeleinde: een strafbare poging naar Europees recht?

Artikel 8 lid 2 jo. artikel 4 onder a jo. artikel 5 onder a van Richtlijn 2019/713/EU bepleit mijns inziens een mogelijkheid om het schrijven van een A/B-optimalisatiecode voor phishingdoeleinde reeds als strafbare poging tot phishing te beschouwen. Eerder werd immers duidelijk dat voor een gedraging ex artikel 4 onder a of artikel 5 onder a van de richtlijn niet vereist was dat de verdachte met die gedraging ook daadwerkelijk geldmiddelen heeft verworven. Enkel is vereist dat de phisher met zijn gedraging een frauduleus oogmerk heeft op het wederrechtelijk bevoordelen van zichzelf of anderen. Dient in dat licht niet reeds het herhaaldelijk opstellen van een phishingbericht  hieronder te vallen? Uit de tekst van de berichten zelf zou immers reeds naar objectieve maatstaven opgemaakt kunnen worden dat hieruit een oogmerk tot wederrechtelijke bevoordeling blijkt, zonder dat daarmee reeds geldmiddelen zijn verworven. De tekstuele inhoud van die berichten is overigens hoofdzakelijk steeds dezelfde. Uit paragraaf 2 bleek immers dat de verschillende phishingberichten slechts van elkaar verschillen in één klein opzicht, zoals bijvoorbeeld een andere achtergrondkleur of een verschil in teint van het gebruikte logo, etc. De crux hier is echter dat het herhaaldelijk opstellen van deze berichten niet handmatig plaatsvindt door de phisher zelf, maar door de door hem opgestelde A/B-optimalisatiecode. Hoe dient het schrijven van die code dan te worden bezien?

Artikel 8 lid 2 van de richtlijn stelt dat een poging tot bovenstaande strafbaar gesteld dient te worden. En dit is waarbij de gedraging, het schrijven van de code, om de hoek komt kijken. Want is nu niet juist het schrijven van een A/B-optimalisatiecode een poging tot het herhaaldelijk opstellen van een phishingbericht? De phisher poogt immers met voornoemde gedraging een code te schrijven die hem in staat stelt herhaaldelijk nieuwe phishingberichten op te stellen die optimaal zijn in echtheid en sluwheid. Zo bezien, zou de in deze bijdrage centraal staande gedraging aan de hand van artikel 8 lid 2 jo. artikel 4 onder a jo. artikel 5 onder a van de richtlijn kunnen leiden tot de conclusie dat sprake is van een strafbare poging tot oplichting.

Nu Richtlijn 2019/713/EU wel een mogelijkheid biedt de in deze bijdrage centraal staande gedraging te kwalificeren als strafbare poging, maar uit paragraaf 4.3 gebleken is dat deze gedraging geen strafbare poging oplevert ex artikel 45 jo. 326 Sr, rijst de vraag in hoeverre de Nederlandse wetgever bij de implementatie van deze richtlijn kan volstaan met een verwijzing naar het algemene pogingsartikel 45 Sr. Het schrijven van een A/B-optimalisatiecode voor phishingdoeleinde vormt wellicht een van die gedragingen die, in de woorden van de richtlijn, ‘eigenstandige strafbare feiten’ dienen te worden. Een verwijzing naar artikel 45 Sr. volstaat in dat geval niet.

Conclusie

In deze bijdrage is onderzocht in hoeverre het schrijven van een A/B-optimalisatiecode voor phishingdoeleinde gekwalificeerd kan worden als strafbare poging naar respectievelijk Nederlands en Europees recht. Voor het Nederlandsrechtelijk perspectief is deze gedraging geplaatst in het kader van de strafbare poging tot oplichting ex artikel 45 jo. 326 Sr. Analyse van de centraal staande gedraging resulteerde in de conclusie, dat deze gedraging naar uiterlijke verschijningsvorm niet als een strafbare poging tot oplichting kwalificeert, nu met het enkele schrijven van een dergelijke code geen daadwerkelijke benadering van het potentiële slachtoffer plaatsvindt en de phisher derhalve ook nog niet tot een monitoring en optimalisering van de gebruikte phishingberichten kan komen. Voor het Europeesrechtelijke perspectief is deze gedraging geplaatst in het kader van de artikelen 8 lid 2 jo. artikel 4 onder a jo. artikel 5 onder a van Richtlijn 2019/713/EU, welke artikelen zich volgens de Nederlandse wetgever dienen te laten vertalen naar het algemene pogingsartikel 45 Sr. in samenhang bezien met een met artikel 4 onder a of artikel 5 onder a van de richtlijn corresponderende Nederlandse strafbepaling. Mijns inziens biedt deze richtlijn, anders dan artikel 45 jo. 326 Sr., wel een mogelijkheid de in deze bijdrage centraal staande gedraging te kwalificeren als een strafbare poging. Nu uit het herhaaldelijk opstellen van een phishingbericht enkel een frauduleus oogmerk hoeft te blijken en het schrijven van een optimalisatiecode die de phisher hiertoe in staat stelt, beschouwd kan worden als een poging daartoe.

De mogelijke discrepantie tussen beider uitkomsten werpt de vraag op in hoeverre de Nederlandse wetgever bij de implementatie van Richtlijn 2019/713/EU, in het bijzonder de artikelen 8 lid 2 jo. artikel 4 onder a jo. artikel 5 onder a, kan volstaan met de verwijzing naar het algemene pogingsartikel 45 Sr. Wellicht dat het schrijven van een A/-B-optimalisatiecode voor phishingdoeleinde een van die gedragingen is die, in de woorden van overweging 13 van de richtlijn, ‘zijn eigenstandige strafbaarstelling’ behoeft.

Dit artikel is een bewerking van een bachelorscriptie geschreven in het kader van de bachelor Rechtsgeleerdheid aan onze faculteit.

1. Europol, ‘The Internet Organised Crime Threat Assessment (IOCTA) 2021’, Den Haag: Europol 2021.
2. B.H.M. Custers, ‘Artificiële intelligentie in het strafrecht. Een overzicht van actuele ontwikkelingen’, Computerrecht 2021/157, afl. 4, p. 331.
3. E.R. Leukfeldt, M.M.L. Domenie, W.Ph. Stol, Verkenning cybercrime in Nederland 2009, Den Haag: Boom Juridische uitgevers 2010, p. 97-102. 
4. Custers, Computerrecht 2021, p. 334.
5. Custers, Computerrecht 2021, p. 331.
6. Custers, Computerrecht 2021, p. 331.   
7. W. Faber, e.a., Phishing, Kinderporno en Advance-fee internet fraud. Hypothesen van cybercrime en haar daders (onderzoek NICC & WODC), 2010, p. 36.
8. Leukfeldt, Domenie & Stol 2010, p. 74; Faber e.a. 2010, p. 36.
9. Zie voor andere vormen van phishing: Nationaal Cyber Security Centrum, Cybercrime. Van herkenning tot aangifte, januari 2012.
10. Faber e.a. 2010, p. 34.
11. Faber e.a. 2010, p. 34-35.
12. Faber e.a. 2010, p. 38-39.
13. W. Stol & L. Strikwerda, Strafrechtpleging in een digitale samenleving, Den Haag: Boom juridisch 2017, p. 198.
14. Leukfeldt, Domenie & Stol 2010, p. 329; Cybercrime. Van herkenning tot aangifte 2012, p. 74.
15. Kamerstukken II 2020/21, 35656, nr. 3, p. 6-7.
16. Kamerstukken II 2020/21, 35656, nr. 3, p. 7.
17. C. van de Heyning, A. Kentgens & E. Stamhuis, Digitale dreigingen, strafrechtelijke antwoorden. Cybercrime en cyberwarfare in het Belgische en Nederlandse Strafrecht. Preadviezen (Nederlands-Vlaamse Vereniging voor Strafrecht), Nijmegen: Wolf Legal Publishers 2020, p. 161. 
18. J. de Hullu, Materieel strafrecht. Over algemene leerstukken van strafrechtelijke aansprakelijkheid naar Nederlands recht, Deventer: Wolters Kluwer 2021, p. 389; C.L. van der Vis, ‘Poging tot een bepaald misdrijf: enkele implicaties van de accessoriteit’, DD 2021/21, p. 247.
19. De Hullu 2021, p. 377; C. Kelk & F. De Jong, Studieboek materieel strafrecht, Deventer: Wolters Kluwer 2019, p. 412-413.
20. De Hullu 2021, p. 380; Van der Vis, DD 2021, p. 247 en 261.
21. HR 30 maart 2021, ECLI:NL:HR:2021:388 en 389, NJ 2021/227 en 228 m.nt. Machielse, r.o. 2.3.2. 
22. HR 30 maart 2021, ECLI:NL:HR:2021:388 en 389, NJ 2021/227 en 228 m.nt. Machielse, r.o. 2.3.2.
23. K. Lindenberg & H.D. Wolswijk, Het materiële strafrecht, Deventer: Wolters Kluwer 2021, p. 243-244.
24. Lindenberg & Wolswijk 2021, p. 245.
25. S.S. Arendse, De uiterlijke verschijningsvorm in het strafrecht. Een analyse van de jurisprudentie van de Hoge Raad (diss. Leiden), Den Haag: Boom juridisch 2020, p. 69.
26. Arendse 2020, p. 76-79.
27. Arendse 2020, p. 79.
28. Lindenberg & Wolswijk 2021, p. 243-244.
29. S.S. Buisman, ‘De strafrechtelijke aanpak van fraude op online handelsplatforms. Modernisering van klassieke strafbaarstellingen in het licht van de digitale wereld’, TBS&H 2020, nr. 2, p. 73 en Kamerstukken II 2020/21, 35656, nr. 3, p. 3-4.
30. Kamerstukken II 2020/21, 35656, nr. 3, p. 10.