Dos crimes contra a inviolabilidade do sistema informático

“DOS CRIMES CONTRA A INVIOLABILIDADE DO SISTEMA

INFORMÁTICO”

Uma análise crítica do Anteprojeto do Código Penal e a visão do cenário internacional

INTRODUÇÃO:

Cibercrime (Cybercrime em inglês) é a palavra dada a uma prática que consiste em fraudar a segurança de computadores ou redes empresariais.O termo “cibercrime” foi cunhado no final da década de 90, à medida que a Internet se disseminava pelos países da América do Norte. Um subgrupo das nações do G8 se formou após um encontro em Lyon, na França, para o estudo dos problemas da criminalidade então surgidos e promovidos via Internet ou pela migração de informações para esse meio. Este “grupo de Lyon” usava o termo para descrever, de forma muito ampla, todos os tipos de crime perpetrados na Internet ou nas novas redes de telecomunicações, que estavam cada vez mais acessíveis em termos de custo.

Alguns conceitos para Cibercrimes:

O manual das Nações Unidas para Prevenção e Controle dos Crimes por Computador define os crimes de computador como sendo:

(1) fraude por manipulação do computador; (2) falsificações por computador; (3) danos ou modificações de dados ou programas de computador; (4) acesso não autorizado a sistemas e serviços de computador; (5)reprodução não autorizada de programas legais de computador;

Alguns conceitos para Cibercrimes:

A Convenção de Budapeste define nos artigos 2 a 10 o cibercrime, estabelecendo conteúdo de matéria penal em quatro diferentes categorias:

(1) infrações contra a confidencialidade, a integridade e a disponibilidade de dados e sistemas; (2) As infrações relacionadas com computador; (3) infrações relacionados com conteúdo; (4)delitos relacionados com a violação dos direitos de autor e direitos conexos.(5) Responsabilidade subsidiária e sanções [esforço e auxílio ou responsabilização corporativa]

Momento atual:

Apesar da recessão global, da segurança aprimorada e das medidas punitivas internacionais, o cibercrime cresceu a uma taxa de dois dígitos ano após ano nessa última década.O Centro de Reclamações de Crime pela Internet (Internet Crime Complaint Center), nos Estados Unidos, respaldado pelo FBI, relatou que as perdas dos consumidores causadas pelo cibercrime somente naquele país duplicaram para US$560 milhões no período de 2008 a 2009, enquanto as reclamações dos consumidores aumentaram em mais de 22%. Segundo detectou a empresa de segurança McAfee uma média de 60 mil novos malwares a cada dia são descobertos.

Sete principais ações do cibercrime nos últimos anos:

1. A infecção em massa do worm “MyDoom”: danos estimados em US$ 38 bilhões.

2. “ O falso afeto do worm “I LOVE YOU”: danos estimados em US$ 15 bilhões.

3. Destruição furtiva do “worm” Conficker: danos estimados em US$ 9,1 bilhões.

4. “Worm” Stuxnet — Agressivo e perigoso: dano desconhecido.

5. Rede de bots Zeus — Um ladrão de informações versátil: dano desconhecido.

6. “Duqu” malware sofisticado e totalmente customizado: dano desconhecido.

7. Flame um vírus feito para ser capaz de tirar screenshots das máquinas dos usuários, monitorar conversas baseadas em voz, ter (e responder) complexas instruções remotas e fazer o “sniffing” do tráfego da web enquanto o usuário navega na Internet, além de sequestrar contas administrativas e detectar qual software antivírus está instalado.

Incidentes Reportados ao CERT.br – de 1999 à Junho de 2012

O Brasil é um país seguro quanto a cybersegurança?

Relatório de cyber segurança produzido pela “McAfee” e pela “Security & Defence Agenda (SDA)”, classificou 23 países no que diz respeito à chamada “cyber prontidão de segurança”, sendo que nenhum país teve a nota mais alta e o Brasil apareceu nas últimas posições:

Valores envolvendo o cibercrime no Brasil e no mundo:

As estimativas anuais do cibercrime variam bastante, desde US$560 milhões até US$1 trilhão por ano. A empresa de segurança Symantec divulgou recentemente uma pesquisa sobre cibercrime no Brasil que mostrou que os roubos superam os US$ 63,3 bilhões no período de um ano, o que representa cerca de 17% dos US$ 388 bilhões perdidos em todo o mundo.

O que motiva a prática dos cibercrimes?

Obtenção de ganhos financeiros fáceis; Necessidade de provar a capacidade em

vencer o computador ou a empresa; Competição tecnológica; Revolta ou vingança contra a empresa,

normalmente funcionários demitidos; Motivações ideológicas, políticas ou

religosas por pessoas que desejam fazer chantagem, invadir sistemas secretos ou de segurança e provocar terrorismo ou catástrofes.

Perspectivas quanto aos cibercrimes no mundo:

Segundo Arthur Coviello Jr., presidente da RSA, divisão de segurança da empresa norte-americana EMC e um dos maiores especialistas em segurança eletrônica, o mundo não poderá vencer o cibercrime ou crime cibernético sem a associação de quatro estratégias: educação, administração de riscos, compartilhamento de informações e ações de governo. Se a guerra não ocorrer nessas quatro frentes, os resultados serão sempre medíocres.

Principais desafios no combate aos cibercrimes:

• A imensa complexidade do mundo da informação no século 21;

• Expansão contínua e em escala mundial da internet;

• Número crescente de dispositivos móveis;

• Multiplicação das fontes de informações, no fenômeno chamado Big Data.

• Necessidade contínua da revisão e atualização da segurança eletrônica de todas as empresas permanentemente.

Dificuldades para descobrir os crimes por computador:

Distância temporal: porque normalmente são crimes continuados, cometidos por muito tempo, e muito da documentação e arquivos são expurgados, não tendo como ser descoberta a fraude;

Distância espacial: o indivíduo pode iniciar o crime num local e o cúmplice o termina em outro local. É o caso de emissão de ordens de pagamento falsificadas;

Prejuízo elevado, difícil de avaliar; Pouco conhecimento na área.

Dificuldades para punir quem pratica crimes por computador :

falta de previsão legal específica; empresa acaba não denunciando o

criminoso por medo de perder a credibilidade perante os clientes;

a empresa acaba perdoando o criminoso desde que este revele como entrou no sistema e "qual a falha" para evitar futuras invasões;

é difícil a obtenção de provas do crime; são necessárias muitas testemunhas; é um processo lento e muito oneroso.

Tendências mundiais no combate aos cibercrimes:

Articulação de unidades de investigação.

As unidade policiais que investigam cibercrimes nem sempre se entendem sobre quem é o responsável pela investigação deste tipo de delito e nem trocam informações. Investigação de cibercrimes envolve conhecimentos especiais por parte dos agentes envolvidos e recursos muito mais específicos do que aqueles disponíveis em investigações comuns. Unidades policiais do mundo todo estão adotando modelos de investigação que implicam na especialização de suas unidades e principalmente na articulação de todos os órgãos envolvidos na investigação destes crimes, sempre compartilhando recursos.


Padronização da Coleta de Informações

A forma como um indício ou prova são recolhidos depende do crime cometido e do tempo em que tenha se consumado. Se um crime já foi cometido, o computador é simplesmente apreendido, e é feita uma tentativa de coleta de dados. Se um crime está em andamento, no entanto, será necessária a instalação de ferramentas para controle de atividades realizadas no computador e coleta de indícios e provas. Unidades de investigação do mundo todo estão adotando protocolos de investigação que primam pelo efetivo controle das atividades realizadas em um computador e preservação de indícios e provas, padronizando seus procedimentos para evitar metodologias conflitantes.


Aumento na destinação de recursos

Unidades policiais especializadas em cibercrimes devem acompanhar a tecnologia atual, de forma a estarem em constante aperfeiçoamento. Seus integrantes devem ser treinados em todas as novas tecnologias e deve ser exigido dos mesmos uma constante evolução e aperfeiçoamento. Cada investigador deve ser um especialista em informática forense e encontrar-se apto a identificar e coletar indícios e provas, sendo necessário que suas atividades estejam na mais absoluta sincronia com o trabalho realizado por peritos forenses, com os quais em hipótese nenhuma devem ser confundidos.


Toda a Legislação sobre cibercrimes deve estar sempre em revisão e a cooperação entre os países deve ser aperfeiçoada.Diante do avanço tecnológico constante e da expansão das redes de computadores por todo o mundo, os países devem ter uma preocupação constante sobre a troca de informações entre eles e a eficácia de suas leis no combate aos cibercrimes, visando sempre reprimir de forma uniforme crimes que podem assumir um caráter transnacional como é o caso dos cibercrimes.

Tendências dos cibercrimes no Brasil:

Problemas na investigação dos cibercrimes no Brasil:

1. Falta de harmonia entre a legislação penal brasileira e tratados internacionais sobre cibercrimes;

2. Falta de compartilhamento de dados entre órgãos policiais e empresas de serviços que atuam na internet, tanto dentro do país como fora dele;

3. Poucas unidades especializadas na investigação e prevenção de cibercrimes no país;

4. Falta de profissionais capacitados e experientes no combate aos cibercrimes nas unidades policiais brasileiras;

5. Inexistência de laboratórios bem aparelhados para suprir as necessidades periciais nas investigações de cibercrimes no país;

6. Emprego reiterado por órgãos policiais de buscas e apreensões apressadas (eficiencialismo exacerbado) por indícios de autoria ou por materialidade delitiva, ensejando a transgressão e a violação de direitos e garantias constitucionais como a privacidade e o devido processo legal.

Inclusão dos cibercrimes no Código Penal Brasileiro:

Criará novas condutas criminosas e agregará outras já previstas na legislação, muito embora o Anteprojeto seja extremamente objetivo e não se debruce sobre temas complexos como direitos autorais, pirataria ou controle de informação.


Novos tipos Penais introduzidos pelo Anteprojeto:

Stalking (art. 147): Definido como “Perseguição Obsessiva ou Insidiosa”, será caracterizado como os atos de invasão de privacidade, reiterada ou continuada, que ameace a integridade física ou psicológica. Ação penal condicionada a representação.

Cyberbullying (art. 148): A “Intimidação Vexatória” consistirá em atos de violência física ou psicológica, intencionais e reiteradas, valendo-se de pretensa situação de superioridade.

Estelionato Informático (art. 171-A): Sobre o nome de “Fraude Informática”, indica a obtenção de vantagem ilícita através de programas ou interferência no funcionamento de sistema informático.



Invasão de sistema (art. 209): Consistindo no acesso indevido ou não-autorizado em sistema protegido, que possa trazer risco na divulgação ou utilização indevida de dados, sendo chamado de Acesso Indevido. Quem distribui formas destinados a produzir o crime também incorre na pena (§1º). Já em seus parágrafos 3º e 4º também encontramos a conduta de Espionagem Informática, conforme é indicado na Exposição de Motivos do Novo Código Penal.



Intrusão informática (art. 150-B): Acesso indevido a sistema informático protegido, expondo os dados a risco de divulgação ou de utilização indevida. •§1º do artigo criminaliza a conduta de quem comercializa os dados obtidos.•§2º do mesmo dispositivo aumenta a pena caso ocorra “prejuízo econômico”;•§3º cria a figura da “invasão qualificada”, a qual penaliza a conduta de quem obtém informação sigilosa ou protegida por lei;•§4º aumenta a pena pela divulgação ou comercialização dos dados obtidos através da conduta descrita no §3º ;•§6º aumenta a pena de quem pratica o delito de intrusão em desfavor de órgão da administração pública.



Sabotagem informática (Defacement e Negação de Serviço) (art. 150-C): Consiste no ato de interferir na funcionalidade de um sistema, causando interrupção no serviço, ainda que parcialmente. Também incorre em crime quem distribuir formas para causar tais crimes.

•§1º Penaliza a comercialização, o armazenamento ou a distribuição de códigos maliciosos, mesmo que gratuita;•§2º Agrava a pena descrita no caput quando a vítima é órgão da administração pública.



Furto por Equiparação (art. 155, § 1º): Passa a ser equiparado ao furto a subtração de dados informáticos, documentos eletrônicos, sinal de televisão a cabo ou de internet, bem como item assemelhado que tenha valor econômico. A pena imposta será de prisão, de 6 (seis) a 3 (três) anos, e multa. A ação será pública condicionada à representação.

Dano aos dados informáticos (art. 163, § 2º, incisos I e II): Penaliza a destruição, modificação ou a interferência indevida em dados informáticos, ainda que parcialmente, além da distribuição indevida de dispositivos, programas ou dados destinados a este fim com pena de prisão, de 1 (um) ano a 3 (três) anos, e multa. A ação penal será pública.



Ciberatentado (art. 265, § 2º): Trata-se de uma forma qualificada do delito de Atentado contra a segurança de serviço de utilidade pública, com aumento de metade da pena daquele que atentar contra a segurança ou o funcionamento de serviço público através de sistema informático.

Mudanças em tipos penais já existentes no Código Penal Brasileiro:

Capítulo IV - Crimes contra a honra

Calúnia - Art. 136Difamação - Art. 137Ofensa à pessoa jurídica - §1ºInjúria - Art. 138Ofensa à honra ou memória de pessoa morta - Art. 139

Aumento de pena (Art. 140, inciso II): Penas aplicadas até o dobro se qualquer dos crimes é cometido por meio jornalístico, inclusive o eletrônico ou digital, ou qualquer outro meio de comunicação que facilite a divulgação da calúnia, da difamação ou da injúria. Somente se procederá mediante queixa.

Não foi tratado pelo Anteprojeto:

•Controle de informação;

•Propriedade Intelectual e Direitos do Autor;

•“Cloud computing”.

Leis de Cibercrimes no Direito Comparado:

PortugalA Lei n.º 109/2009 forneceu ao sistema processual penal português normas que permitam a obtenção de dados de tráfego e a realização de intercepções de comunicações em investigações de crimes praticados no ambiente virtual, condensando todas as normas respeitantes à cibercriminalidade muito embora o país tenha optado por não proceder à alteração das várias fontes legislativas sobre a matéria – além da própria Lei da Criminalidade Informática, o Código Penal, o Código de Processo Penal e a Lei da Cooperação Judiciária Internacional (Lei n.º 144/99, de 31 de Agosto, com as suas alterações).


Lei Portuguesa (Lei n.º 109/2009, de 15 de Setembro de 2009) e seus principais aspectos:

Falsidade informáticaDano relativo a programas ou outros dados informáticosSabotagem informáticaAcesso ilegítimoIntercepção ilegítimaReprodução ilegítima de programa protegido


Lei Portuguesa (Lei n.º 109/2009, de 15 de Setembro de 2009) e seus principais aspectos:

1º)Novas definições, incluídas no artigo 2.º da lei, no qual se introduz o conceito de “dados informáticos”, em substituição ao conceito de “programa informático”. Acrescentou-se ainda, definições de “fornecedor de serviço” e de “dados de tráfego”, alterando-se o conceito de “sistema informático”, que passa a ser mais abrangente (incluem-se nele, por exemplo, dispositivos como os “telemóveis” (telefones celulares) e suprime-se, por deixar de fazer sentido face a este último, o conceito de “rede informática”.


2º)No que diz respeito a responsabilidade das chamadas “pessoas coletivas” do direito português, optou-se pela revogação do regime específico criado em 1991 a este propósito. Em seu lugar, remete-se para o regime geral de responsabilização de “pessoas coletivas”, previsto no Código Penal Português. Foram satisfeitos os compromissos assumidos pela Convenção Sobre o Cibercrime do Conselho da Europa, da mesma forma que se simplifica o quadro normativo, eliminando um regime especial de responsabilização, criado em 1991 pela inexistência de um regime geral, mas agora já não justificado, após a introdução desse mesmo regime geral na alteração do Código Penal operada em 2007.


3º)Quanto aos tipos de crime de dano informático, sabotagem informática, acesso ilegítimo e intercepção ilegítima, previstos na legislação anterior de Portugal, foram feitos ajustes na redação, tendo em vista, por um lado, atualizar o texto legal e, por outro, consagrar novas modalidades de ação típica.

4º)A propósito da competência jurisdicional, a Convenção do Cibercrime previa uma inovação, traduzida na obrigação dos Estados signatários se declararem competentes para prosseguirem criminalmente, independentemente do local da prática dos fatos, os seus cidadãos nacionais, se a infração for punível no local onde foi cometida ou não for da competência de nenhum Estado. Apesar desta solução não estar anteriormente consagrada na lei portuguesa, se previu, para certos crimes, a competência universal da lei portuguesa.


Áustria

O "Austria’s Privacy Act 2000" entrou em vigor em 1 de janeiro de 2000 e estabeleceu sanções para atos ilícitos voltados para dados. Esta lei prevê especificamente a pena de multa para as seguintes condutas:

1)Obter deliberadamente ou realizar acesso ilegal a um aplicativo de dados;

2)Transmitir dados intencionalmente, em violação a cláusula austríaca do sigilo de dados, especialmente se o agente tiver tido acesso aos dados para outros fins;

3)Para o agente que não corrigir dados falsos ou excluí-los quando tiver em seu poder a informação correta ou decisão legal neste sentido;

4)Exclusão de dados intencionalmente.


Itália

O Artigo 615.5 do Código Penal italiano torna crime a divulgação de programas que visam danificar ou interromper as operações de um sistema de computador. O artigo 615 também criminaliza a pirataria e posse ilegal e distribuição de códigos de acesso de computadores.


Espanha

A Espanha criminalizou a interceptação de e-mail ou de "qualquer outro sinal de comunicação" e a cópia, uso ou modificação de "dados pessoais privados, de família ou de outra pessoa". Também proibiu a fraude informática e uso não autorizado de terminais de telecomunicações, conforme consta no Código Penal Espanhol nos artigos 197, 248 e 256.


Rússia

A Rússia desenvolveu um extenso quadro jurídico para detectar, punir e prevenir a criminalidade informática, mas a sua implementação continua a ser problemática. Antes de 1997, o Código Penal da Federação Russa não incluía disposições específicas sobre crimes informáticos. O novo Código Penal da Federação Russa, que entrou em vigor em 1997, aborda diretamente crimes informáticos. O Capítulo 28 deste Código é intitulado "Crimes no domínio da informação computadorizada" e inclui artigos sobre o acesso não autorizado à informação computadorizada, a criação, o uso e a promulgação de software prejudicial e a violação das regras operacionais para computadores, sistemas de computadores e redes.

Conclusão:

Os meios eletrônicos, sobretudo a Internet, possibilitam a prática de crimes complexos, que exigem uma solução rápida e especializada. Podemos afirmar que os delitos virtuais crescem na proporção do avanço da tecnologia.

Caso não ocorra uma rápida e intensiva especialização dos órgãos policiais e o seu aparelhamento com tecnologia adequada, a batalha contra os cibercriminosos restará perdida.

Legislação moderna e em consonância com as principais tendências mundiais é uma poderosa ferramenta no combate aos cibercrimes.

“DOS CRIMES CONTRA A INVIOLABILIDADE DO SISTEMA INFORMÁTICO”

JOSÉ MARIANO DE ARAUJO FILHO

Delegado de Polícia

[email protected]

Acesse o nosso Blog:

http://mariano.delegadadodepolicia.com

Twitter:

http://twitter.com/Digital_Crimes

Setembro/2012

Dos crimes contra a inviolabilidade do sistema informático

Technology

Transcript of Dos crimes contra a inviolabilidade do sistema informático