Het gerechtshof in Den-Haag heeft in hoger beroep twee verdachten veroordeeld tot gevangenisstraffen van 4,5 jaar en 45 maanden wegens het leegtrekken van ING-rekeningen via malware. De verdachten infecteerden Windows-computers met malware, die zich in de browser van gebruikers injecteerde.

Zodra gebruikers naar de website van ING gingen kregen ze een melding te zien dat er een beveiligingscertificaat moest worden geïnstalleerd. Daarbij moesten gebruikers hun mobiele telefoonnummer opgeven. Vervolges ontvingen gebruikers een sms-bericht met een link naar het "certificaat". In werkelijkheid ging het om de Perkele Android-malware die TAN-codes onderschept en naar criminelen doorstuurt, zodat die frauduleuze transacties kunnen uitvoeren.

Volgens het hof hebben de verdachten de Perkele-malware ontwikkeld of laten ontwikkelen om daarmee computervredebreuk te plegen. Via de malware wisten de verdachten vele duizenden euro's te stelen, waarmee onder andere bitcoins werden gekocht. In eerste instantie werden de verdachten tot een gevangenisstraf van 36 en 39 maanden veroordeeld, waar het OM tegen in beroep ging. De procureur-generaal had namelijk een celstraf van 4 jaar en 5 jaar geëist.

De advocaat van de verdachten ging daarnaast tegen de aanklacht in verweer. Volgens de raadsman was de "webinject" die de malware gebruikte voor het manipuleren van de banksite geen technisch hulpmiddel, zoals in de aanklacht was omschreven. Via webinjects kunnen cybercriminelen banksites aanpassen en bijvoorbeeld om aanvullende informatie vragen. De rechter was het hier echter niet mee eens en stelde dat een webinject wel degelijk een technisch hulpmiddel is waarmee de verdachten gegevens voor het plegen een misdrijf verzamelden.

Volgens het hof is er verder sprake van ernstige strafbare feiten, aangezien de verdachten het Nederlandse systeem van internetbankieren op "grove wijze" hebben aangevallen. "Niet alleen een groot aantal rekeninghouders, maar ook bankinstellingen zijn gedupeerd geraakt. Daarnaast is het vertrouwen dat een ieder moet kunnen hebben in de integriteit van het elektronische betalingsverkeer geschaad. Het wegvallen van dat vertrouwen zou het maatschappelijk en economisch verkeer kunnen ontwrichten. Verreweg de meeste personen en bedrijven zijn namelijk afhankelijk van dit systeem van betalingsverkeer", aldus het hof. ING en het OM hadden nog om het opleggen van een schadevergoedingsmaatregel gevraagd, maar daar zag het hof van af.