HR-2012-2397-A - Rt-2012-1968
Utseende
(Omdirigert fra «Rt-2012-1968»)
| Instans: | Norges Høyesterett |
|---|---|
| Dato: | 2012-12-20 |
| Publisert: | HR-2012-02397-A - Rt-2012-1968 |
| Stikkord: | |
| Sammendrag: | Saken gjelder straffutmåling for databedrageri ved inntrenging i nettbank og tapping av penger fra nettbankkonti. |
| Saksgang: | HR-2012-02397-A, (sak nr. 2012/777), straffesak, anke over dom |
| Parter: | Den offentlige påtalemyndighet (statsadvokat Carl Fredrik Fari) mot A (advokat Abdelilah Saeme – til prøve) |
| Forfatter: | Normann, Indreberg |
| Lovhenvisninger: | straffeloven § 270, straffeloven § 145, straffeloven § 62, straffeloven § 174 |
NORGES HØYESTERETT
Den 20. desember 2012 avsa Høyesterett dom i
HR-2012-02397-A, (sak nr. 2012/777), straffesak, anke over dom,
Den offentlige påtalemyndighet (statsadvokat Carl Fredrik Fari)
mot
A (advokat Abdelilah Saeme – til prøve)
G I V N I N G :
(1) Dommer Normann: Saken gjelder straffutmåling for databedrageri ved inntrenging i
nettbank og tapping av penger fra nettbankkonti.
(2) A ble 14. oktober 2011 satt under tiltale for forsøk på grovt databedrageri overfor Nordea
Bank, Terragruppen og Sparebank 1(tiltalebeslutningen post I), grovt databedrageri
overfor DnB NOR Bank (nå DNB Bank ASA) (post II) og datainnbrudd (post III). For
Høyesterett er saken begrenset til å gjelde straffutmålingen for de forhold som er omfattet
av tiltalebeslutningen post II og III.
(3) Tiltalen for overtredelsen av straffeloven § 270 første ledd nr. 2, jf. annet ledd, jf. § 271
(post II) bygger på følgende forhold eller medvirkning til dette:
"I tidsrommet februar – april 2011, via internett fra ukjent sted, modifiserte han,
sammen med andre, trojaneren SpyEye som ved flere anledninger ble testet mot
DnBNORs nettbankløsning i den hensikt å få tilgang via bankens nettbankkunder til
kundenes bankkonti for deretter urettmessig å overføre penger til andre, for rettmessige
kontoinnehaver ukjente personer. I perioden 2. april – 4. mai 2011 via internett, ved
tilsammen 25 anledninger skaffet han seg uberettiget tilgang til 25 norske
nettbankkunder sine bankkonti via kundens egen datamaskin. Han la inn
overføringer/transaksjoner til utbetaling for tilsammen kr 809.883,- fra
nettbankkundens konto til forhåndsprogrammerte bankkonti tilhørende andre
kontoinnehavere. Handlingen medførte tape eller fare for tap for nettbankkunden eller
DnBNOR." 2
(4) Tiltalen for overtredelsen av straffeloven § 145 annet ledd, jf. første ledd og tredje ledd
(post III) bygger på følgende forhold eller medvirkning til dette:
"Til tid og sted som nevnt i post II, forholdt han seg som der nærmere beskrevet."
(5) Nedre Romerike tingrett avsa 21. november 2011 dom som hadde slik domsslutning:
"1. A, født 25.04.1985, frifinnes for post I i tiltalebeslutningen av 14. oktober
2011.
2. A, født 25.04.1985, dømmes for overtredelse av straffeloven § 270 første ledd
nr 2 jf annet ledd og § 271 og straffeloven § 145 annet ledd jf første ledd og
tredje ledd til fengsel i 1 år og 8 måneder, jf. straffeloven § 62 første ledd.
Varetekt kommer til fradrag med 203 dager beregnet t.o.m. 21. november
2011.
3. A, født 25.04.1985, dømmes i medhold av strl § 35 til å tåle inndragning av 1
stk Acer Aspire 5739G bærbar pc.
4. A, født 25.04.1985, dømmes til å betale kr 939.000 som erstatning til DNB
Bank ASA. Oppfyllelsesfristen er 2 uker fra dommens forkynnelse.
5. Saksomkostninger idømmes ikke."
(6) Påtalemyndigheten anket til Eidsivating lagmannsrett over lovanvendelsen for
frifinnelsen for tiltalens post I og straffutmålingen for de øvrige forhold. Anken over
frifinnelsen førte delvis frem, idet frifinnelsen for forsøk på databedrageri overfor Nordea
ble opphevet. For forholdene i tiltalens post II og III ble straffen redusert til fengsel i ett
år. Lagmannsrettens dom har denne domsslutning:
"1. Tingrettens dom, domsslutningen pkt. 1, oppheves for så vidt gjelder
frifinnelsen for medvirkning til forsøk på bedrageri mot Nordea. For øvrig
forkastes anken over lovanvendelsen.
2. I tingrettens dom, domsslutningen pkt. 2, gjøres den endring at straffen settes
til fengsel i 1 – ett – år. Varetektsfradraget utgjør 317 – trehundreogsytten –
dager."
(7) Påtalemyndigheten har anket til Høyesterett over straffutmålingen og gjort gjeldende at
den straff lagmannsretten har utmålt, er vesentlig for lav. Påtalemyndigheten har for
Høyesterett nedlagt påstand om fengsel i to år og tre måneder. Domfelte har tatt til
motmæle og har påstått straffen nedsatt.
(8) Jeg er kommet til at påtalemyndighetens anke over straffutmålingen må tas til følge, men
at straffen må settes noe lavere enn det påtalemyndigheten har påstått.
(9) Domfelte er en 27 år gammel mann, estisk statsborger som har bodd og arbeidet i Norge i
cirka fem år, stort sett som bygningsarbeider. Han er ikke tidligere straffet i Norge, men
ifølge dokumentert informasjonen fra Europol er han bøtlagt i 2007 for forfalskning
knyttet til kredittkort. 3
(10) For Høyesterett er saken begrenset til å gjelde straffutmålingen for medvirkning til
databedrageri og datainnbrudd overfor DnB NOR Bank våren 2011. Domfellelsen gjelder
følgende forhold:
(11) Den 3. desember 2010 opprettet domfelte en konto i DnB NOR med nettbankavtale. I
julen 2010 overleverte han kodebrikke og passord for kontoen til personer i Estland.
Disse tilpasset eller modifiserte dataprogrammet Spy Eye for å få tilgang til nettbankkonti
i DnB NOR for å tappe disse for penger. Etter at banken hadde fått henvendelser fra
kunder som ikke vedsto seg uttak på sine nettbankkonti, fikk DnB NOR etter nærmere
undersøkelser mistanke om at A hadde drevet med nettbanktapping og anmeldte
forholdet. Bankens detekteringssystem hadde funnet likheter mellom transaksjoner på As
konti, og konti hvor kundene mente seg utsatt for tapping. Gjennom gransking av
transaksjonslogger lyktes banken med å stoppe flere transaksjoner fra kunders konti som
urettmessig var lagt klare for overføring til norske og utenlandske konti. Totalt var det
foretatt 25 posteringer for overføring av et samlet beløp på 809 883 kroner. Fire
overføringer var gjennomført. Av disse fire ble én tilbakeført, mens tre overføringer – for
til sammen 125 661 kroner – ikke lot seg stoppe eller tilbakeføre.
(12) Det er to hovedformer for nettbanksvindel, "manuell" og "automatisk". I denne saken ble
sistnevnte metode anvendt. I begge tilfeller må svindleren først skaffe seg tilgang til en
bankkundes nettbankkonto. Denne kontoen blir benyttet som base for å trenge inn i andre
kunders nettbankkonti. Den metoden som ble benyttet, er oppsummert slik av
lagmannsretten:
"- Svindlerne må skaffe seg tilgang til et antall datamaskiner som blir brukt av kunder i
den eller de nettbankene det er aktuelt å angripe.
- Det må utvikles dataprogram ("angrepskoder") som passer til disse nettbankene.
- Angrepskodene må installeres på de enkelte datamaskinene svindlerne har skaffet seg
tilgang til, og disse kodene må videreutvikles og oppdateres, blant annet etter hvert som
bankens sikkerhetssystem utvikler mottiltak.
- Svindlerne må ha kontroll over et antall bankkonti dit overføringene kan styres. Dette
er gjerne konti som tilhører helere ("muldyr") i utlandet. Muldyrenes oppgave er å
sørge for at pengene til slutt havner hos svindlerne, men slik at overføringen dit ikke så
lett lar seg etterspore."
(13) For urettmessig å komme inn i nettbanken og videre inn på kunders nettbankkonti og
foreta overføringer, benyttes særlige dataprogrammer med utgangspunkt i et verktøy som
kalles Spy Eye, som igjen generer trojanere. Programvaren Spy Eye kan kjøpes på
internett i forskjellige versjoner, kan tilpasses inntrengning på nettbankløsninger og kan
infisere et større antall brukermaskiner. Infiseringen skjer for eksempel ved at en bruker
er inne på en nettavis der trojaneren ligger skjult. Denne installeres dermed på
datamaskinen.
(14) En trojaner er bærer av flere elementer (programmer), hvor et sentralt element er
programvare som holder kontakt med servere svindlerne disponerer, som kan være
plassert hvor som helst i verden. Trojaneren kan ved hjelp av slike program hente opp nye
elementer og installere disse på den infiserte datamaskinen. Ved nettbanksvindel er det
særlig aktuelt å hente opp nye angrepskoder etter hvert som disse blir utviklet. De nye
angrepskodene kommer i tillegg til de angrepskoder trojaneren kan ha vært utstyrt med
fra starten, og utvikles for å tilpasses de enkelte ulike nettbankløsningene banker benytter. 4
(15) Ved angrep mot en ny nettbank tar angriperne gjerne utgangspunkt i en allerede
eksisterende angrepskode og utvikler denne slik at den passer til det nye angrepet.
Utviklingsarbeidet forutsetter at svindlerne har adgang til den aktuelle nettbanken.
(16) Når angrepskoden er ferdig utviklet og tilpasset en bestemt nettbankløsning, legges den
på en server som svindlerne disponerer. Derfra hentes koden automatisk av de
brukermaskinene som allerede er infisert med en trojaner.
(17) Neste gang brukeren logger seg på, vil angrepskoden sørge for at det blir lagt inn en
overføring som nettbankkunden ikke ser. Programmet sørger for at nettbanken får beskjed
om å taste inn ny engangskode. Hvis det gjøres, bekrefter kunden uten å vite det
overføringen som er lagt inn i programmet. Trojaneren er altså automatisk operativ uten
at kunden merker dette.
(18) For Høyesterett er det fremlagt opplysninger fra Nasjonal Sikkerhetsmyndighet hvor det
fremgår at det de siste årene er observert en kraftig økning i antall kompromitterende
norske nettsider som sprer banktrojanere og annen skadevare. Dette koster samfunnet
store summer å rydde opp i.
(19) Opplysningene bekreftes også av en omfangsvurdering av trusselbildet som er foretatt av
Bankenes Standardiseringskontor på vegne av banknæringen. Det er opplyst at angrepene
på Internett vokser kraftig i omfang og kompleksitet, at det de siste årene er blitt enklere
for de kriminelle organisasjonene å utnytte sårbarheter i programvare, og at trusselbildet
på internett er "høyst uforutsigbart". På grunn av angrepenes kompleksitet er det antatt at
internasjonale organiserte kriminelle miljøer står bak. Norske banker samarbeider
internasjonalt for å bekjempe kriminalitet mot nettbankene.
(20) I Norge har bankene foreløpig greid å iverksette effektive tiltak mot nettbanksvindel, slik
at omfanget av gjennomførte bedragerier hittil har vært begrenset. Tapene var
henholdsvis 490 000 kroner i 2011 og 1,3 millioner kroner i første halvår av 2012.
Finansnæringen bruker imidlertid store ressurser på å bekjempe svindelen, og
banknæringen har anslått at den i 2011 har avverget bedragerier på 55,5 millioner kroner.
Tilsvarende tall for første halvår i 2012 er anslagsvis 151 millioner kroner.
(21) Det skal etter dette utmåles straff for 25 transaksjoner fra konti i DnB NOR. Tapsfaren for
disse transaksjonene var samlet 809 883 kroner, og den fullbyrdete forbrytelse gjelder
altså dette beløpet.
(22) Lagmannsretten har ved straffutmålingen tatt utgangspunkt i en beløpsbetraktning, men
har gitt uttrykk for at det er vanskelig å finne et "normalt straffenivå" for bedrageri i
størrelsesorden 800 000 kroner. Jeg enig i dette – noe som blant annet har sammenheng
med at bedragerier dekker mange ulike forhold, og det er betydelige forskjeller i
utmålingspraksis. Selv om det er vanskelig å operere med en alminnelig beløpsmessig
norm, finner jeg likevel en viss veiledning i to saker som også gjaldt databedrageri.
(23) Rt. 1990 side 955 gjaldt databedrageri på i overkant av 1,2 millioner kroner, som tilsvarer
rundt 2 millioner kroner i dagens pengeverdi. Straffen ble satt til fengsel i 1 år og 6
måneder. Domfelte hadde bokført fiktive fakturaer i virksomheten hvor han var ansatt, og
fått beløpene overført til sin konto. Beløpet er høyere enn i vår sak, og tillitsmomentet 5
som ble vektlagt der, er ikke like fremtredende i vår sak. Sakene har likevel det til felles
at begge handler om å utnytte et system.
(24) Dommen i Rt. 1994 side 740 gjaldt en bankansatt som opprettet fiktive konti med den
følge at hun selv fikk urettmessig utbetalt 361 768 kroner, tilsvarende cirka 600 000
kroner i dagens pengeverdi. Straffen ble fengsel i 10 måneder, hvorav 45 dager ubetinget.
Forholdet var imidlertid der fem år gammelt da saken kom til pådømmelse.
(25) Det foreligger imidlertid forhold som tilsier at straffen her må bli betydelig strengere. En
rekke av de hensyn som er tillagt vekt ved fastsettelsen av det alminnelige straffenivået
for organisert kredittkortkriminalitet, gjør seg gjeldende i vår sak, jf. Rt. 2009 side 397.
(26) På samme måte som ved organisert kredittkortkriminalitet krever også
nettbankkriminalitet planlegging og organisering over tid, og potensialet for økonomisk
gevinst er betydelig ved begge former for kriminalitet.
(27) Jeg viser videre til avsnitt 20 i den nevnte dommen, der det er uttalt:
"Det er karakteristisk at virksomheten ikke bare rammer det enkelte kortselskap og
den enkelte korteier. Den undergraver også tilliten til de elektroniske betalingssystemer
som i dag er dominerende, og står slik sett ikke nevneverdig tilbake for pengefalsk hva
straffverdighet angår. Denne forbindelsen er også påpekt i Rt. 2004 side 1701 i avsnitt
17. I dommen fremheves også at misbruk av giro- og kortbaserte betalingsordninger lett
kan få større økonomisk omfang enn pengefalsktilfellene. Jeg nevner Internett-baserte
bank- og betalingsløsninger som andre eksempler på eksponerte transaksjonsformer.
Utmålingspraksis i tilknytning til pengefalsk kan naturligvis ikke overføres direkte,
blant annet ettersom straffeloven § 174 har en minstestraff på tre års fengsel. Men
slektskapet tilsier at man trekker veksler på pengefalsk, både med hensyn til nivået og
for vekten av ulike straffutmålingsmomenter (uthevet her)."
(28) I avsnitt 21 er førstvoterendes konklusjon at "[d]et ligger i det jeg nå har sagt … at det bør
gjelde et strengt alminnelig straffenivå i saker som dette, jf. uttalelsene blant annet i
Rt. 1995 side 475 og Rt. 1995 side 1314, som gjaldt pengefalsk".
(29) Jeg er enig i at det også ved nettbanksvindel bør gjelde et strengt alminnelig straffenivå.
(30) Forsvareren har vist til at tapene i norske banker – til tross for massive trojanerangrep –
hittil har vært små, og at tapene knyttet til nettbanksvindel har vært langt mindre enn ved
kortsvindel, for eksempel som følge av at passord og engangskoder er blitt stjålet. Jeg
tillegger ikke denne innvendingen særlig vekt. Internettkriminalitet er et økende
samfunnsproblem som ikke bare berører bank- og finansnæringen nasjonalt og globalt,
men som også er en alvorlig vinningsforbrytelse som truer tilliten til en betalingsform
som dagens betalingsformidling er basert på. Det er opplyst for Høyesterett at i 2011 ble
66 % av alle regninger betalt over nettbank, totalt 379 millioner transaksjoner. Jeg
tillegger det også vekt at bankene benytter betydelige ressurser på å avverge og oppdage
denne type svindel. Allmennpreventive hensyn tilsier en streng reaksjon.
(31) Nettbanksvindel dreier seg dessuten ofte om grenseoverskridende virksomhet slik som i
saken her. Serveren som styrer utviklingen av trojanerne på de infiserte datamaskinene,
kan plasseres hvor som helst i verden, og pengene som tappes fra nettbanken kan også
overføres til konti i utlandet. På samme måte som ved grenseoverskridende mobil
vinningskriminalitet, er det små muligheter til å få tilbake de verdiene gjerningsmannen 6
har tilegnet seg ved den straffbare handlingen og som er tatt ut av landet. Også dette
tilsier en streng reaksjon.
(32) Aktor har sammenlignet datainnbruddene med innbrudd i private hjem. Denne
sammenligning finner jeg ikke treffende. Datainnbruddene rettet seg utelukkende mot
nettbanken. Selv om inntrengning i nettbanken forutsetter infisering av kundens
datamaskin, gjør invaderingen i den private sfære seg gjeldende på en helt annen og
mindre alvorlig måte ved nettbanksvindel enn ved innbrudd i private hjem.
(33) As medvirkning besto i at han opprettet konti i DnB NOR og deretter overlot kode og
kodebrikke til andre involverte. Etter dette holdt han dessuten jevnlig kontakt via
chattelogger med andre involverte i Estland.
(34) Lagmannsretten har tillagt det vekt i formildende retning at A langt fra var noen
hovedmann, at hans konkrete bidrag var relativt beskjedent, og at han befant seg i en
utsatt posisjon når det gjaldt oppdagelsesrisiko. Det er riktig at A eksponerte seg for
oppdagelsesrisiko, men for øvrig er denne beskrivelsen ikke treffende. At A opprettet
konti i DnB NOR og deretter overlot kode og kodebrikke til andre involverte, var en helt
nødvendig forutsetning for at de kriminelle kunne skaffe seg tilgang til de ulike konti i
nettbanken. A holdt dessuten etter dette jevnlig kontakt via nettet med andre involverte i
Estland. Han utgjorde et viktig og nødvendig ledd i gjennomføringen av databedrageriet.
(35) Det betydelige vinningspotensialet ved nettbanksvindelen tilsier at det heller ikke kan
tillegges særlig vekt at utbytte for de involverte i denne saken var beskjedent,
cirka 125 000 kroner, jf. Rt. 2009 side 397 avsnitt 23. Grunnen til at det ikke ble høyere,
var utelukkende at banken greide å stoppe de fleste overføringene før de ble gjennomført.
(36) A er også domfelt for datainnbrudd. Selv om dette isolert sett innebærer et invaderende
element på bankkundens datamaskin og i hans nettbank, innebærer innbruddet i vår sak
ingen "snoking" i den privat sfære. Forholdene ligger således helt annerledes an enn i
Høyesteretts dom fra 31. oktober i år (HR-2012-02056-A), hvor domfelte blant annet
hadde kopiert informasjon om e-postadresser og personlige bilder. Innbruddet i
nettbanken er dessuten en forutsetning for databedrageriet, og datainnbruddet kan derfor
ikke bidra vesentlig ved straffutmålingen.
(37) Etter en samlet vurdering er jeg kommet til at straffen passende kan settes til fengsel i ett
år og ti måneder.
(38) Jeg stemmer for denne
D O M :
I lagmannsrettens dom, domsslutningen punkt 2, gjøres den endring at straffen settes til
fengsel i 1 – ett – år og 10 – ti – måneder. 7
(39) Dommer Bårdsen: Jeg er i det vesentlige og i resultatet enig med
førstvoterende.
(40) Dommer Skoghøy: Likeså.
(41) Dommer Indreberg: Likeså.
(42) Justitiarius Schei: Likeså.
(43) Etter stemmegivningen avsa Høyesterett denne
D O M :
I lagmannsrettens dom, domsslutningen punkt 2, gjøres den endring at straffen settes til
fengsel i 1 – ett – år og 10 – ti – måneder.
Riktig utskrift bekreftes: