w w w. i b d i. o r g. b r ASPECTOS DO PROJETO DE LEI (PL 84/99) SOBRE CRIMES INFORMÁTICOS...

w w w . i b d i . o r g . b r

ASPECTOS DO PROJETO DE LEI (PL 84/99) SOBRE CRIMES INFORMÁTICOS

Demócrito Reinaldo Filho

São Paulo, 04 de agosto de 2009


CRIMES NA INTERNET

• Classificação:– Crimes informáticos impuros

– Crimes informáticos puros


CRIMES INFORMÁTICOS IMPUROS

• Em geral todos os crimes cometidos contra pessoas:– crimes contra a honra na Internet: calúnia (CP, art. 138),

difamação (CP, art. 139), injúria (CP, art. 140) ou Lei de Imprensa (Lei n. 5.250/67), nos seus artigos 20 a 22.

– racismo na Internet – CF, art. 5o., XLII, (racismo como crime inafiançável e imprescritível) e Lei 8.081/90 – pune com pena de reclusão (de 01 a 03 anos e multa) discriminação ou preconceito de raça, religião, etnia ou procedência nacional” (art. 20).

– pornografia infantil na Internet: a Lei Federal 10.764, de 12.11.2003, alterou o art. 241 do ECA, que trata do crime de produção e divulgação (inclusive pela Internet) de imagens de menores em cenas de sexo explícito.


CRIMES INFORMÁTICOS IMPUROS

– crime de ameaça na Internet: art. 147 do CP. – “on line grooming” : o ECA (Lei 8069/90) já pune os crimes

de abuso e exploração sexual de menores – “cybersltalking” ou “cyberharassment” - crimes de atentado

violento ao pudor (art. 214 do CP) ou assédio sexual (art. 216-A)


CRIMES INFORMÁTICOS PUROS

Em geral são praticados contra sistemas informáticos ou visando um bem específico - a informação: – spam– phishing

• pharming• DNS poisoning

– acesso indevido a sistema informático– divulgação indevida de informação contida em banco de dados– dano eletrônico– difusão de códigos maliciosos (vírus)– data jacking


CRIMES INFORMÁTICOS PUROS

• Necessidade de tipificação

• Modus Operandi

• Tipos penais: claros e objetivos

• Princípio da Reserva Legal


ESTATÍSTICAS SOBRE CRIMES NA INTERNET

(Fonte: Symantec Security Report)• aumento de furto de identidade (data theft) e vazamento de dados (data

leakage)• criação de códigos maliciosos visando organizações específicas para

obtenção de informações e utilização para ganhos financeiros• os criminosos (attackers) estão refinando seus métodos e agindo em

escala global, mediante a formação de redes criminosas, para dar suporte a atividades criminais coordenadas.

• os EUA respondem por 31% da atividade criminosa registrada globalmente


ESTATÍSTICAS SOBRE CRIMES NA

INTERNET

• Denial of Service (DoS):– uma média de 5.213 ataques por dia – os EUA foram o alvo da maioria desse tipo de ataque,

respondendo por 52% – empresas do Governo foram o setor mais visado,

respondendo por 30% dos ataques registrados



INTERNET

• Computadores infectados por bot:– registrados 63.912 computadores infectados por dia, um

aumento de 11% em relação ao período anterior – a China tem 26% dos computadores infectados – os EUA têm o maior número de computadores que

controlam as máquinas infectadas (40%)



INTERNET

• Códigos maliciosos (trojans, worms, virus, keylogger): – os “honeypots” da Symantec capturaram

um total de 136 novos tipos de códigos maliciosos entre 1o. de julho a dezembro de 2008



INTERNET• Spam:

– no segundo semestre de 2008, as mensagens caracterizadas como spam representaram 59% do tráfico de e-mails. No semestre anterior, representavam apenas 54%.

– 65% por cento de todos os spam detectados no período são escritos em inglês.

– 0,68% dos spam continham códigos maliciosos, ou seja, uma em cada 147 mensagem de spam continha algum tipo de vírus.

– 44% das mensagens de spam foram originadas nos EUA– 10% dos spam zombies estão localizados nos EUA



INTERNET• Pishing:– a Symantec registrou, durante o período pesquisado, um total de

166.248 tipos de mensagens de phishing, uma média de 904 tipos de mensagens por dia, um aumento de 6% em relação ao período anterior.

– a Symantec bloqueou 1.5 bilhão de mensagens de phishing no segundo semestre de 2008 (uma média de 8.48 milhão de phishing por dia), um aumento de 19% em relação ao semestre anterior.

– as instituições financeiras respondem por 84% do uso de suas marcas para ataques de phishing

– 46% dos sites clonados (spoofing sites) estavam localizados nos EUA



INTERNET

• Tendências apontadas no relatório:

– Novas táticas empregadas no phishing:• uso de várias URL´s para evitar block lists• intelligence lead phishing • SmiShing — spam e phishing por meio de celulares (tecnologias

SMS e MMS como novos vetores de crimes dessa natureza)


PROJETOS DE LEI SOBRE CRIMES NA

INTERNET• PLC 89, de 2003 (n. 84, de 1999, na origem), do

Dep. Luiz Piauhylino (altera o Código Penal)• PLS n. 137, de 2000, do Sen. Leomar Quintanilha

(consistia em apenas um artigo e visava a aumentar a pena até o triplo, para crimes cometidos por meio da tecnologia da informação)

• PLS n. 76, de 2000, do Sen. Renan Calheiros (tipificava condutas praticadas com o uso de computador, mas não alterava o CP)


PROJETOS DE LEI SOBRE CRIMES NA

INTERNET

• todos referentes a crimes informáticos• tramitaram em conjunto a partir de 2005• Substitutivo aprovado no Senado (do Sen. Eduardo

Azeredo), tendo retornado à Camara, onde também já foi aprovado em plenário

• no atual estágio de tramitação, somente admite emenda supressiva ou veto presidencial


PROJETOS DE LEI SOBRE CRIMES NA INTERNET

• resultará na primeira lei brasileira que trata de uma maneira ampla e sistematizada dos crimes informáticos

• não apenas cria tipos penais novos, mas estende o campo de incidência de algumas figuras já previstas no CP para novos fenômenos ocorrentes nos meios desmaterializados

• adapta o direito interno à Convenção de Budapeste (do Conselho da Europa) sobre cibercrimes



• Antes deles, apenas a Lei 9.983, de 14.07.2000, havia introduzido no CP:– a figura qualificada do crime de divulgação de segredo (art. 153, §1º-A), cujo tipo

prevê pena (de detenção de 1 a 4 anos e multa) para aquele que divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública.

– o chamado "peculato eletrônico" (artigos 313-A e 313-B), os quais prevêem pena (reclusão de 2 a 12 anos e multa) para o funcionário público que praticar a inserção de dados falsos em sistemas de informações (art. 313-A), bem como para aquele que modificar ou alterar sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente (art. 313-B), sendo a pena neste caso de detenção de 3 meses a 2 anos e multa.


PROJETOS DE LEI SOBRE CRIMES NA INTERNET (Substitutivo do Sen. Azeredo)

Pontos polêmicos excluídos:• art 21 – obrigação dos provedores de

identificar e fazer cadastro dos usuários

• “defesa digital”


Substitutivo do Sen. Azeredo • Art. 21 (excluído). “Todo provedor de acesso a uma rede de computadores sob sua responsabilidade

somente admitirá como usuário pessoa natural, dispostivo de comunicação ou sistema informatizado que for autenticado por meio hábil e legal à verificação positiva da identificação de usuário, ficando facultado o uso de tecnologia que garanta a autenticidade e integridade dos dados e informações digitais ou o uso de outras entidades de dados de identificação de usuário já existentes que tenham sido constituídas de maneira presencial, de forma a prover a autenticidade das conexões, a integridade dos dados e informações e a segurança das comunicações e transações na rede de computadores, dispositivo de comunicação e sistema informatizado.

• Parágrafo único. A identificação do usuário de rede de computadores poderá ser definida nos termos de regulamento, sendo obrigatórios para a pessoa natural os dados de identificador de acesso, senha ou similar, nome completo, data de nascimento, um número de documento hábil e legal de identidiade e endereço completo, sendo obrigatória para o provedor de acesso a uma rede de computadores, para o dispositivo de comunicação e para o sistema informatizado a indicação de uma pessoa natural responsável”



Polêmica que se estabeleceu e críticas que se seguiram à exigência da identificação positiva e cadastro dos usuários:

• afetam as garantias democráticas e o ambiente de liberdade que caracterizam a Internet

• perda da privacidade e restrição do acesso à Internet• somente países autoritários como China, Cuba, Coréia do Norte e Irã

controlam o acesso à Internet• exigência ineficaz, pois os criminosos vão abrir conta em provedores

de outros países• exigências de identificação levariam à quebra dos pequenos

provedores de Internet e somente favoreceriam o lobby das empresas de certificação digital


Substitutivo do Sen. Azeredo

• Par. 4o. do art. 154-A (excluído):– “Nas mesmas penas incorre, o responsável pelo provedor de acesso à rede de

computadores, dispositivo de comunicação ou sistema informatizado, que permite o acesso a usuário sem a devida identificação e autenticação ou que deixa de exigir, como condição de acesso, a necessária identificação e regular cadastramento do usuário.

• Pena – reclusão de 2 a 4 anos e multa.

• Art. 365-A (excluído):– “Deixar de manter os dados de identificação de usuário e os dados de conexões

realizadas por seus equipamentos, de valor probatório, aptos à identificação do usuário quando da ocorrência de crime, pelo prazo de três anos contados a partir da data de conexão, aquele que é o responsável pelo provedor de acesso à rede de computadores”.

• Pena- detenção de seis a três anos e multa.


Substitutivo do Sen. Azeredo • LEI ESTADUAL/SP Nº12.228, de 11 de Janeiro de 2006

• Artigo 1º - São regidos por esta lei os estabelecimentos comerciais instalados no Estado de São Paulo que ofertam a locação de computadores e máquinas para acesso à Internet, utilização de programas e de jogos eletrônicos, abrangendo os designados como "lan houses", cibercafés e "cyber offices", entre outros. Artigo 2º - Os estabelecimentos de que trata esta lei ficam obrigados a criar e manter cadastro atualizado de seus usuários, contendo: I - nome completo; II - data de nascimento; III - endereço completo; IV - telefone; V - número de documento de identidade.

• § 1º - O responsável pelo estabelecimento deverá exigir dos interessados a exibição de documento de identidade, no ato de seu cadastramento e sempre que forem fazer uso de computador ou máquina.

• § 2º - O estabelecimento deverá registrar a hora inicial e final de cada acesso, com a identificação do usuário e do equipamento por ele utilizado.

• § 4º - As informações e o registro previstos neste artigo deverão ser mantidos por, no

mínimo, 60 (sessenta) meses.


Substitutivo do Sen. Azeredo

• “Defesa Digital” (excluída) – para que se possa isentar de pena, em alguns dos novos crimes, a manipulação de código malicioso por agente técnico ou profissional habilitado, em proveito próprio ou de seu preponente, e sem risco para terceiros, de forma tecnicamente documentada e com preservação da cadeia de custódia no curso de procedimentos correlatos, a título de teste de vulnerabilidade, de resposta a ataque, de frustração de invasão ou burla, de proteção do sistema, de interceptação defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e de práticas gerais de segurança da informação.

•


• “DILEMA GENERATIVO”• popularização da Internet – o ciberespaço passou a ser o “lugar onde todos

fazemos tudo”• problemas de segurança na rede ameaçam o seu desenvolvimento (aumento

da criminalidade nos espaços virtuais) e pode minar a confiança dos usuários (comércio eletrônico)

• por outro lado, há o desejo de que a Internet preserve com suas características originais, de rede “aberta” e “democrática”

• marco regulatório tem que assegurar o equilíbrio apropriado entre a necessidade de segurança nas tecnologias da informação e a garantia de proteção de direitos fundamentais


Substitutivo do Sen. Azeredo (versão atual)

• Altera as seguintes leis: Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), Decreto-Lei nº 1.001, de 21 de outubro de 1969 (Código Penal Militar), a Lei nº 7.716, de 5 de janeiro de 1989 (racismo) , a Lei nº 8.069, de 13 de julho de 1990 (ECA), e a Lei nº 10.446, de 8 de maio de 2002 (que dispõe sobre infrações penais de repercussão interestadual ou internacional que exigem repressão uniforme)

• Tipifica condutas realizadas mediante uso de sistema eletrônico, digital ou similares, de rede de computadores, ou que sejam praticadas contra dispositivos de comunicação ou sistemas informatizados e similares


Substitutivo do Sen. Azeredo (versão atual) Cria novos tipos penais:• acesso não autorizado a rede de computadores, dispositivo de

comunicação ou sistema informatizado (art. 285-A, do CP)• obtenção, transferência ou fornecimento não autorizado de dado ou

informação (art. 285-B, do CP)• divulgação ou utilização indevida de informações e dados pessoais

(art. 154-A, do CP)• inserção ou difusão de código malicioso (Art. 163-A, do CP)• estelionato eletrônico (art. 171, § 2º., VII, do CP)


Substitutivo do Sen. Azeredo (versão atual) • estende a redação do art. 163 do CP (crime de “dano”) para incluir o

“dado eletrônico alheio”• acrescenta na redação do art. 265 do CP (atentado contra a segurança

de serviço de utilidade pública) a expressão “informação ou telecomunicação”

• modifica a redação do art. 266 do CP (interrupção de serviço público) e acrescenta os termos “telemático, informático, de dispositivo de comunicação, de rede de computadores, de sistema informatizado ou de telecomunicação”

• acrescenta, na definição do crime de falsificação de documento público (art. 297 do CP), o termo “dado eletrônico”

• acrescenta, na definição do crime de falsificação de documento particular (art. 298 do CP), o termo “dado eletrônico”

• altera o Código Penal Militar para inserir dispositivos nos mesmos moldes


Substitutivo do Sen. Azeredo (versão atual) • traz em seu corpo (art. 16), para efeitos penais, os conceitos de:

“dispositivo de comunicação”, “sistema informatizado”, “rede de computadores”, “código malicioso”, “dados informáticos” e “dados de tráfego”

• traz em seu corpo norma programática obrigando os órgãos de repressão criminal a se estruturarem para combater a criminalidade cibernética (art. 18)

• altera a redação do inc. II do § 3º do art. 20 da Lei nº 7.716/89, para possibilitar a cessação das transmissões “eletrônicas”, nos casos de crime de preconceito ou racismo

• altera o art. 241 da Lei 8.069/90 (ECA), passando a criminalizar a distribuição ou publicação de pornografia infantil na Internet

• altera o art. 1º. da Lei 10.466/02, para incluir os crimes informáticos dentre as infrações cuja repercussão exige repressão uniforme


Substitutivo do Sen. Azeredo (versão atual) • Cria as seguintes obrigações para os provedores de

acesso:

1ª. conservar, pelo prazo de 03 anos, os dados de conexão dos usuários (art. 22, I);

2ª. preservar outras informações, mediante requisição judicial (art. 22, II);

3ª. informar à autoridade competente denúncia que tenha recebido e que contenha indícios de crime sujeito a acionamento penal público incondicionado.



• prevê que as condições de segurança do armazenamento dos dados de tráfego, a auditoria a que serão submetidos e a autoridade competente para realizá-la serão disciplinados em regulamento (§ 1º. do art. 22)

• prevê pena de multa (entre dois a cem mil reais) para o provedor que não preservar informações requisitadas pela autoridade judicial (§ 2º do art. 22)


Substitutivo do Sen. Azeredo (versão atual) Críticas:

- tipos penais muito abertos, abrangência e imprecisão na redação dos artigos, que geram efeitos colaterais graves

- dá margem a que condutas triviais e cotidianas dos usuários da Internet possam ser criminalizadas (incrimina downloads de arquivos, inviabiliza redes sem fio)

- cria tipos penais de perigo abstrato (que não se exige para a configuração do crime nenhum dano nem mesmo um perigo concreto a algum bem jurídico)

- transforma os provedores em “dedos-duros” e delatores de seus usuários

- tais problemas ocorrem sobremaneira com relação aos artigos 285-A, 285-B, 163-A em seu parágrafo primeiro, inciso VII do artigo 6° e inciso III do artigo 22.


Substitutivo do Sen. Azeredo (versão atual) • alguns tipos deveriam ser categorizados como ilícitos civis, em função

do seu menor potencial ofensivo

• restringe a liberdade das pessoas em nome de uma suposta maior segurança

• cerceia a liberdade de expressão e invade a privacidade das pessoas

• prejudica a inclusão digital

• projeto foi aprovado sem a devida discussão com a sociedade

• o projeto favorece os bancos

• penaliza os mais pobres, que dependem de espaços públicos para acessar a internet.

• a obrigatoriedade de armazenar os dados pode ser impraticável para os pequenos provedores e telecentros, que geralmente são instalados em pequenos espaços.



Acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado

Art. 285-A. Acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso:

Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.

Parágrafo único. Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.



Obtenção, transferência ou fornecimento não autorizado de dado ou informação

Art. 285-B. Obter ou transferir, sem autorização ou em desconformidade com autorização do legítimo titular da rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso, dado ou informação neles disponível:

Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.

Parágrafo único. Se o dado ou informação obtida desautorizadamente é fornecida a terceiros, a pena é aumentada de um terço.



Ação Penal

Art. 285-C. Nos crimes definidos neste Capítulo somente se procede mediante representação, salvo se o crime é cometido contra a União, Estado, Município, empresa concessionária de serviços públicos, agências, fundações, autarquias, empresas públicas ou sociedade de economia mista e subsidiárias.”



“Divulgação ou utilização indevida de informações e dados pessoais

154-A. Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal.

Pena – detenção, de 1 (um) a 2 (dois) anos, e multa.

Parágrafo único. Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada da sexta parte.”


Substitutivo do Sen. Azeredo (versão atual) Inserção ou difusão de código malicioso

Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.

Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.

Inserção ou difusão de código malicioso seguido de dano

§ 1º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:

Pena – reclusão, de 2(dois) a 4 (quatro) anos, e multa.

§ 2º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.”



“Art.171 .......................................................................................

§ 2º Nas mesmas penas incorre quem:..........................................................................................Estelionato EletrônicoVII – difunde, por qualquer meio, código malicioso com intuito

de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado:

§ 3º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime do inciso VII do § 2º deste artigo, a pena é aumentada de sexta parte.”



Art. 22. O responsável pelo provimento de acesso a rede de computadores mundial, comercial ou do setor público é obrigado a:

I - manter em ambiente controlado e de segurança,

pelo prazo de três anos, com o objetivo de provimento

de investigação pública formalizada, os dados de

endereçamento eletrônico da origem, hora, data e a

referência GMT da conexão efetuada por meio de

rede de computadores e fornecê-los exclusivamente

à autoridade investigatória mediante prévia requisição

judicial;



II - preservar imediatamente, após requisição judicial, outras informações requisitadas em curso de investigação, respondendo civil e penalmente pela sua absoluta confidencialidade e inviolabilidade;

III - informar, de maneira sigilosa, à autoridade competente, denúncia que tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de computadores sob sua responsabilidade.

Demócrito Reinaldo Filhoe-mail: [email protected]

w w w. i b d i. o r g. b r ASPECTOS DO PROJETO DE LEI (PL 84/99) SOBRE CRIMES INFORMÁTICOS...

Documents

Transcript of w w w. i b d i. o r g. b r ASPECTOS DO PROJETO DE LEI (PL 84/99) SOBRE CRIMES INFORMÁTICOS...