Integrantes da Polícia Federal (PF) e do Ministério Público Federal (MPF) afirmam que, a menos que seja possível provar teses de extorsão ou violação da Lei de Segurança Nacional, as punições não passam de um ano de detenção – facilmente convertida em prestação de serviços comunitários.

“Até conseguimos enquadrar as pessoas nos tipos penais que temos. Não temos fraude eletrônica bancária na legislação, por exemplo, mas temos fraude. O problema é que, com crime cibernético, a consequência é muito maior.

Se conseguirmos encontrar o responsável, o tipo penal de ‘invasão’ é detenção de três meses a um ano. Vamos ter que enquadrar a pessoa na Lei de Segurança Nacional porque a resposta penal é ridícula”, afirma a procuradora Fernanda Teixeira Souza Domingos, coordenadora do Grupo de Apoio ao Combate aos Crimes Cibernéticos, do MPF.

O principal dispositivo para punir crimes cibernéticos é o artigo incluído no Código Penal em 2012 pela Lei Carolina Dieckmann. A medida ganhou este nome por ter como base um caso ocorrido com a atriz, que teve arquivos pessoais copiadas de seu computador e divulgados na internet. A legislação considera crime “invadir dispositivo informático alheio”. A punição pode variar de três meses a um ano de detenção.

Conforme as leis brasileiras, em penas de até quatro anos de prisão o cumprimento se dá em regime aberto. Até dois, há a chamada transação penal (no jargão jurídico), na qual o processo acaba substituído por serviços comunitários, por exemplo.

Para especialista em Direito Digital, legislação precisa ser atualizada

O crime previsto nesse artigo foi usado pelo MPF na denúncia oferecida em janeiro de 2020 contra os hackers que acessaram mensagens trocadas por autoridades da República, como as de integrantes da força-tarefa da Lava Jato e do então ministro da Justiça, Sérgio Moro. “É urgente que o Brasil atualize sua legislação, baseada exclusivamente na Lei Carolina Dieckmann e no Marco Civil da Internet, visando criar as condições jurídicas que permitam às autoridades policiais agirem contra os hackers internacionais, como já fazem outros países”, diz o sócio – fundador da Lee, Brock, Camargo e Advogados, Solano de Camargo, especialista em Direito Digital.

A expectativa dos investigadores para que os responsáveis pelos ataques ao STJ e ao TSE não saiam sem punição à altura é mostrar que as ações resultaram também em outros crimes, secundários, mas que preveem penas mais duras. Nos dois casos, associação criminosa e extorsão, estão no radar.

No caso do TSE, há dúvidas até mesmo se é possível enquadrar os responsáveis na lei que criminaliza a invasão a computadores. Isso porque os indícios coletados até agora apontam para uma técnica diferente usada por eles, em que não há a invasão propriamente dita, mas os chamados ataques de negação de serviço (DDoS), que resultam em lentidão no sistema, sem acesso a dados, por exemplo.

Quando eles foram alvo de mandados de busca e apreensão expedidos pela Justiça Eleitoral, investigadores apontaram suspeita de violação ao Código Eleitoral, no artigo que estabelece detenção de até dois meses para quem “promover desordem que prejudique os trabalhos eleitorais”.

As investigações estão sob sigilo e ainda não foram concluídas. Enquanto isso, os três brasileiros suspeitos de ajudar um hacker português nos ataques no dia das eleições retornaram à ativa.

Ainda sem acesso a computadores e celulares apreendidos, eles afirmaram ter conseguido novas máquinas e, nesta semana, reivindicaram a autoria da invasão a servidores da Universidade de São Paulo (USP), de prefeituras e de câmaras municipais.

Propostas para atualizar leis sobre crimes virtuais estão paradas no Congresso

A maior dependência da tecnologia para comunicações e negócios durante a pandemia da covid-19 ampliou a atuação de cibercriminosos no País. No ano passado, foram 24.328 notificações registradas por órgãos públicos, segundo monitoramento do Gabinete de Segurança Institucional (GSI) da Presidência. O número é maior que os 23.674 de 2019. O salto maior foi nas vulnerabilidades efetivamente encontradas nos sistemas brasileiros: 2.519 contra 1.201, de um ano a outro.

Apesar do fenômeno e dos grandes ataques registrados no País, propostas para atualização das leis de crimes cibernéticos e para endurecimento das penas estão paradas no Congresso. Na avaliação de congressistas, os temas obrigatoriamente precisarão ser levados às mesas dos próximos presidentes da Câmara e do Senado, a serem eleitos em fevereiro.

Duas medidas são consideradas por especialistas fundamentais para este ano. A primeira é a aprovação da adesão brasileira à Convenção de Budapeste sobre Cibercriminalidade do Conselho da Europa, único tratado internacional sobre o assunto. O pacto prevê que o Brasil adeque sua legislação e adote medidas para adotar estratégias conjuntas de enfrentamento de crimes praticados na internet. Atualmente, a convenção conta com mais de 60 países signatários.

Uma vez referendada a entrada do País, abre-se a possibilidade de cooperação entre os integrantes. A estratégia é considerada por especialistas como primordial no combate a um tipo de crime que costuma envolver atacantes e tecnologias de países distintos.

O convite ao Brasil, feito após manifestação de interesse do governo brasileiro, ocorreu em dezembro de 2019, com o apoio do então ministro da Justiça, Sérgio Moro. Em julho do ano passado, o presidente Jair Bolsonaro enviou o tratado para deliberação do Congresso, o que ainda não aconteceu.

“O ingresso nesse acordo de cooperação proporcionará às autoridades brasileiras acesso mais ágil a provas eletrônicas sob jurisdição estrangeira, além de mais efetiva cooperação jurídica internacional voltada à persecução penal dos crimes cibernéticos”, dizia nota conjunta dos ministérios da Justiça e das Relações Exteriores, de 2019.

A outra frente é a atualização das leis, uma demanda da própria Convenção de Budapeste. As tipificações de crimes precisam ser semelhantes em todos os países. O principal projeto é de autoria do deputado David Soares (DEM-SP), elaborado a partir de sugestões do MPF. A proposta é baseada nas sugestões apresentadas na discussão sobre o novo Código Penal, estacionada no Senado.

O texto alcança até mesmo os chamados ataques de negação de serviço (DDoS). Esse tipo de ataque foi o responsável por causar lentidão nos serviços do TSE no primeiro turno das eleições de 2020. Como mostrou o Estadão, o DDoS tem crescido de forma exponencial no Brasil e é facilmente contratado na “deep web” – camada da internet não acessível por buscadores e navegadores convencionais.

De acordo com o projeto, quem “interferir sem autorização” e causar interrupção ou perturbação grave na “funcionalidade ou na comunicação de sistema informatizado” comete crime punível com até cinco anos de prisão. A pena é aumentada em até dois terços se o crime for cometido contra a administração pública.

O projeto também torna mais abrangente o dispositivo inserido pela Lei Carolina Dieckmann. O texto atual exige, para sua caracterização, a invasão de dispositivos mediante violação de mecanismo de segurança com a finalidade de obter dados. Segundo especialistas em cibersegurança, nem sempre há “violação de segurança” nos ataques de crimes cibernéticos. Por isso, o texto passaria a considerar como crime “acessar indevidamente”, e ampliaria a pena para até cinco anos.

“O Brasil foi inserido junto à Convenção de Budapeste e isso faz com que nosso esforço precise ser mais assertivo nessa área. Qualquer que seja o vencedor da presidência da Casa, as comissões vão voltar. Não vão ter mais essas férias que tivemos em 2020. A partir do momento que voltar, vamos dar foco nisso”, afirmou o deputado David Soares.

Os crimes dos hackers

Art. 154-A do Código Penal (Lei Carolina Dieckmann) – O que diz: Considera crime “invadir dispositivo informático alheio” mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização. O projeto que resultou na lei ganhou este nome por ter como base um caso ocorrido com a atriz, que teve arquivos pessoais copiados de seu computador e divulgados na internet em 2012. Pena: detenção, de três meses a um ano, e multa.

Art. 296 do Código Eleitoral – O que diz: considera crime eleitoral ações que “promovem desordem que prejudique os trabalhos eleitorais”. Pena: detenção de até dois meses e pagamento de multa.

Art. 158 do Código Penal (Extorsão) – O que diz: É crime “constranger alguém, mediante violência ou grave ameaça”, a fazer ou tolerar algo com vistas à obtenção de vantagem. Pena: reclusão, de quatro a dez anos, e multa.

Art. 288 do Código Penal (Associação criminosa) – O que diz: associação de três ou mais pessoas para cometer crimes. Pena: reclusão, de um a três anos.

Lei 7.170/83 (Lei de Segurança Nacional) – O que diz: Define os crimes contra a segurança nacional, a ordem política e social do País. Um dos artigo cita “tentar impedir, com emprego de violência ou grave ameaça, o livre exercício de qualquer dos Poderes”. Pena: reclusão, de 2 a 6 anos.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Sócio – fundador da LBCA alerta sobre vácuo na legislação contra hackers apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Atenta ao crescimento alarmante de atividades criminosas na internet, a Interpol acabou de divulgar um relatório sobre a relação entre o Covid-19 e o aumento dos crimes cibernéticos em todo o mundo. O relatório, elaborado a partir de informações obtidas junto a 48 países e 13 parceiros privados, expõe uma realidade desconhecida da maioria da população e das empresas.

O pânico generalizado e a busca incessante por notícias associadas a mortes, auxílios emergenciais ou novas vacinas têm trazido um sem-número de mensagens de e-mail, grupos de redes sociais e SMS, com links maliciosos que permitem aos criminosos invadir computadores, telefones celulares, equipamentos médicos, carros e até mesmo residências com algum grau de automação.

Se as mensagens de bancos contendo erros de grafia ou pedidos de ajuda de príncipes nigerianos eram facilmente descartadas, as mensagens contendo instruções para o recebimento de auxílio emergencial do Governo Federal ou avisos de protesto têm sido usadas pelos hackers (do Brasil e do exterior) com grande sucesso.

O trabalho remoto e as aulas à distância têm sido um prato cheio para os cibercriminosos. A implementação de sistemas que permitem o trabalho em home-office e as aulas fora da escola ocorreu concomitantemente ao pânico trazido pela pandemia – e por causa dela.

Assim, houve pouco ou nenhum tempo para o planejamento de segurança da informação, como a instalação de antivírus mais seguros, barreiras de segurança (firewalls) ou atualizações de softwares e sistemas operacionais, criando incontáveis oportunidades para roubo de informações, aplicação de golpes e sequestros de banco de dados pelos hackers.

Só no Facebook, os pesquisadores da Dfndr Lab detectaram 137 perfis falsos que imitavam lojas famosas, incluindo as Lojas Americanas. Nesses casos, as páginas maliciosas compartilhavam produtos com preços muito abaixo do mercado, direcionando as vítimas para uma página falsa da internet, atingindo muitos interessados.

Após a escolha do produto, são solicitados os dados de cartão de crédito do usuário. Concluída a suposta compra, a vítima é redirecionada à página oficial da loja, não desconfiando do golpe. Neste momento, os dados dos cartões e informações pessoais da vítima são enviados diretamente para os golpistas, muitas vezes situados em outras jurisdições.

A clonagem de cartão de crédito tem sido um dos crimes digitais mais comuns. No entanto, há a possibilidade de outros crimes ocorrerem, como o uso de dados pessoais para abertura de contas e assinatura de serviços pagos, a realização de empréstimos e pagamentos não autorizados, e do roubo de identidade para aplicação de golpes.

O comunicado divulgado em julho pelo Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), endossado por autoridades dos EUA e Canadá, acusaram hackers russos de terem atacado organizações envolvidas no desenvolvimento de vacinas contra o Covid-19, detalhando a atividade de um grupo denominado APT29, também conhecidos como “The Dukes” ou “Cozy Bear”.

Segundo esse alerta, as atividades maliciosas do APT29 são diversos, atuando contra alvos governamentais, diplomáticos e de pesquisa, tanto na área da saúde quanto de energia, visando o roubo de propriedade intelectual. Anteriormente, o grupo Cozy Bear foi acusado de invadir os arquivos do Partido Democrata antes das eleições presidenciais de 2016 nos EUA.

Outro golpe muito comum tem sido o “sequestro” de bancos de dados de empresas, hospitais ou mesmo de pessoas físicas, por hackers internacionais. Caso não haja o pagamento do resgate – usualmente em bitcoins ou outra moeda virtual – os dados podem ficar inacessíveis para sempre.

Embora o sequestro tradicional de pessoas envolva quase sempre a atuação das autoridades policiais, como lidar nos sequestros internacionais de dados? E o que fazer quando os sequestradores se apresentam como grupos terroristas, cujo pagamento do resgate pode ser considerado um crime transnacional de apoio ao terrorismo internacional?

Do ponto de vista do direito internacional, sem a devida cooperação jurídica entre os diversos Estados (tanto os abrigam os hackers, como onde moram as vítimas), será praticamente impossível evitar a continuidade dos ataques.

Como os crimes cibernéticos estão afetando a segurança dos Estados, é fundamental compreender o contexto em que ocorrem, pois os interesses de segurança nacional entre os países são muito divergentes, o que atrapalha o advento de uma Convenção sobre Cibersegurança. Uma vez que o ciberespaço e a cibersegurança não se limitam às fronteiras nacionais, a questão de como o direito internacional pode responder aos crimes cibernéticos é uma das maiores questões da atualidade.

Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a>

O post Crimes cibernéticos afetam a segurança dos Estados e do Direito apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Esses dados envolvem o período da pandemia de Covid-19?

Não, esses dados saíram recentemente, mas são relativos ao ano passado. No mercado securitário da Europa, o seguro para sinistros cibernéticos é mais comum que no Brasil. Segundo a European Insurance and Occupational Pensions Authority apresentam um crescimento de 72%, principalmente com a entrada em vigor da GDPR(Regulação Geral de Proteção de Dados) da União Europeia.

Quais os tipos de coberturas mais comuns?

Danos à reputação de terceiros, cobertura de custos sobre notificação de incidente de segurança envolvendo dados pessoais, custos com defesa civil e criminal etc. O seguro serve para mitigar o impacto das ameaças e riscos do mundo virtual e as apólices estabelecem tipos diversos de danos.

Durante a pandemia cresceram os sinistros cibernéticos?

Sim, principalmente com o aumento do trabalho remoto, que passou a ser utilizado por 43% das empresas brasileiras, além do aumento do tráfego de dados e informações sigilosas das empresas. Possivelmente, com a vigência da Lei Geral de proteção de Dados no Brasil , a demanda por este tipo de seguro deve crescer muito mais.

Qual foi o tipo de ataque mais comum no estudo europeu?

Segundo o levantamento, 67% dos sinistros cibernéticos resultaram de ataques maliciosos de ransomware, que impedem acesso a arquivos e sistemas, podendo levar a períodos de interrupção do negócio.

Quais os setores mais impactados?

Foram as instituições financeiras (21%), corporações (11%) e empresas de comunicação e tecnologia (9%), entre outras.

Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a>

O post Brasil começa investir em seguro para sinistros cibernéticos apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.