Para receber nossa newsletter diária inscreva-se aqui!
Recentemente fomos surpreendidos com inúmeras notícias de ataques cibernéticos aos sistemas eletrônicos de diferentes autoridades públicas pertencentes ao Poder Judiciário e ao Poder Executivo. Os ataques demonstraram tanto fragilidades quanto à segurança dos sistemas públicos, quanto à debilidade da proteção legal que o nosso ordenamento proporciona aos bens jurídicos que passam a compor o patrimônio virtual.
Não obstante o tema proteção de dados tenha ganhado força com a Lei Geral de Proteção de Dados (LGPD), a proteção legal e punibilidade a esse tipo de ataque continua insuficiente, a despeito do recente acréscimo legal trazido pela Lei Carolina Dieckmann (sancionada em 30 de novembro de 2012) que incluiu o art. 154-A no Código Penal.
De forma geral, os recentes ataques cibernéticos tiveram por finalidade a divulgação de dados internos e sigilosos, incluindo dados relacionados aos funcionários públicos, bem como causar instabilidades nos sites dos órgãos públicos atacados.
O tipo penal criminaliza a conduta de invadir, através da violação indevida dos mecanismos de segurança estabelecidos de dispositivo informático alheio, com a finalidade de adulterar ou destruir dados ou informações, sem autorização expressa ou tácita do titular do dispositivo ou, ainda, instalar vulnerabilidades para obter vantagem ilícita.
Embora a conduta de invadir dispositivo informático seja merecedora de sanção, o legislador acabou por não incluir como objeto de criminalização ataques que visem apenas a mera exposição de dados ou que criem situações de negação de serviço.
Além da clara falta de criminalização de outras modalidades de ataques, temos que a sanção estabelecida para a hipótese de invasão de dispositivo é por demais branda (a pena máxima prevista ao invasor é de um ano de detenção e multa na modalidade simples), funcionando como verdadeiro prêmio e não desestímulo a quem se dedica profissionalmente à prática de delitos cibernéticos.
A LGPD, por sua vez, estabelece que o agente de tratamento detentor de dados pessoais deve adotar medidas de segurança, sob pena de sanção, para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Embora ainda não exista um posicionamento oficial da ANPD sobre o que é ou deve ser esperado das empresas em termos de cibersegurança, é fato que temos visto empresas celebrarem termos de ajustamento de conduta com o Ministério Público, assumindo o ônus de multas, reparações coletivas e outras medidas por serem objetivamente responsáveis pelos eventos, ao menos na perspectiva de uma relação consumerista quando subjacente.
Ao compararmos o resultado do conjunto de previsões legais que incidem em casos de ciberataques (Código Penal, LGPD e até o CDC), temos que a LGPD impõe sanções administrativas proporcionalmente mais severas à vítima dos ataques cibernéticos, detentoras dos dados pessoais, do que as sanções que os próprios invasores estão sujeitos no âmbito criminal. Não bastasse sofrer o ataque cibernético, a vítima ainda pode, potencialmente, ser responsabilizada pelo vazamento dos dados pessoais.
Ao que se constata, parece desproporcional imputar à vítima do ataque cibernético a responsabilidade do vazamento quando, comprovadamente, adotadas medidas de proteção cibernéticas razoáveis. Ainda que tais medidas de proteção não tenham sido suficientes ante os artifícios utilizados pelos hackers.
A maneira como os crimes digitais evoluíram e que não se limitam a invasões de dispositivos, imperam dificuldades de investigá-los ante à necessidade da adoção de diversas medidas legais sucessivas, especialmente de quebra de sigilo e dados. A necessidade de adoção de variadas medidas legais acaba por encarecer por demasiado o custo jurídico, bem como desestimular a adoção de medidas de persecução pelas vítimas – quando cabíveis - que, em diversos casos precisam dispenderem inúmeros esforços para contribuir com a investigação das autoridades.
De forma geral, a própria identificação da autoria do crime digital já é um desafio por si só, visto que, na maioria das vezes, tais crimes são praticados de forma anônima. Assim, o primeiro passo de uma investigação de crime digital seria a identificação do endereço de IP (internet protocol) do dispositivo usado pelo potencial autor do crime.
O IP funciona como uma identificação individualizada de cada dispositivo eletrônico ou conexões a partir de uma sequência numérica. Não obstante seja possível a identificação do IP, o procedimento para sua obtenção pode ser bastante moroso e depende do compartilhamento dessa informação pelo próprio provedor do serviço.
Em primeiro lugar, necessário portanto acionar o provedor de serviço que a ação criminosa tenha sido realizada para quebra do sigilo dos dados telemáticos a fim de identificar o IP e, consequentemente, o consumidor final que usou determinado IP, isso quando não há o emprego de artifícios de mascaramento do IP ou do uso de VPNs.
No entanto, a legislação brasileira somente prevê a quebra do sigilo de tais dados telemáticos mediante autorização judicial, ou seja, exige-se que a vítima inicialmente processe o provedor de serviços. Desta forma, imperiosa a condução de um pedido judicial de quebra de dados telemáticos dirigido ao provedor para fornecimento das informações vinculadas ao usuário que se utilizou do IP identificado.
Não há outro meio de obtenção dessas informações que vinculem o usuário do IP, sob pena de acarretar ilegalidade da prova obtida na hipótese de qualquer outra forma de acesso a tais informações.
A partir das informações fornecidas pelo provedor exclusivamente, poderá a autoridade policial requerer ao juiz que seja expedido mandado de busca e apreensão no endereço do usuário investigado, na tentativa de garantir evidências para análise do crime e de sua autoria, se não forem exigíveis novas e sucessivas quebras quando há o uso de dados fictícios para cadastro de contas de e-mail e de usuários de serviços digitais em geral.
Não bastasse a insuficiência de meios investigativos, também são incompatíveis os avanços legislativos com a atual realidade cibernética em constante e rápida evolução, principalmente no que tange a punibilidade do criminoso.
Os obstáculos à persecução e a baixa punibilidade ao autor do crime digital estabelecida pelo legislador se colocam como um verdadeiro incentivo para que criminosos utilizem cada vez mais estratagemas nos meios digitais.
O atual arcabouço legislativo, além de não atender completamente a tutela dos bens jurídicos que passam a compor o patrimônio virtual, manifestamente ignora e impõe dificuldades a regular atuação do poder de polícia para o combate de crimes digitais.
Se pensarmos em termos de política de segurança pública, o mundo digital traz um interessante paradoxo. Enquanto nos transportamos cada vez mais para o digital também por questões de segurança, acabamos por constatar que o universo de bites e bytes não possui uma entidade pública que cuide da sua segurança. Se no mundo físico temos a Polícia Militar para patrulhar, inibir e interromper a prática de crimes, no mundo eletrônico esse ônus é imposto aos próprios usuários.
Em outros termos, é como se passássemos a viver no mundo real apenas confiando no tamanho do muro das nossas casas e na blindagem dos nossos carros, o que em padrões atuais de violência urbana soaria inaceitável.
Ao passo que vemos ataques cada vez mais ousados, inclusive contra as instituições da República, não vemos nenhum avanço na pauta legislativa. O tema é urgente, mas seu enfrentamento ainda está no modo analógico.
*Yuri Sahione é advogado, sócio da área de Compliance, Penal Econômico e Investigações do Cescon Barrieu.
Add new comment