Mudanças entre as edições de "Discussão:Proposta Revisao"
Ir para navegação
Ir para pesquisar
(Redirecionando para Discussão:Proposta de Revisao da Lei de Crimes Ciberneticos) |
|||
(Uma revisão intermediária pelo mesmo usuário não está sendo mostrada) | |||
Linha 1: | Linha 1: | ||
+ | #REDIRECIONAMENTO [[Discussão:Proposta_de_Revisao_da_Lei_de_Crimes_Ciberneticos]] |
||
− | Ante-projeto do código penal com a atual sugestão de revisão da lei de cibercrime: http://www.ibccrim.org.br/upload/noticias/pdf/projeto.pdf |
||
− | |||
− | Lei de portugal: http://www.cnpd.pt/bin/legis/nacional/LEI109_2009_CIBERCRIME.pdf |
||
− | |||
− | Cybercrime Convetion Commitee (T-CY) |
||
− | http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/T-CY/Default_TCY_en.asp |
||
− | |||
− | Convenção de Budapeste: |
||
− | http://www.coe.int/t/dghl/standardsetting/t-cy/ETS_185_Portugese.pdf |
||
− | |||
− | |||
− | ---- |
||
− | |||
− | Registrem aqui a discussão do commit de 03.05.2013 (não esqueçam de registar vossos usuários) |
||
− | |||
− | Notas: |
||
− | |||
− | |||
− | Questionamento: |
||
− | |||
− | |||
− | Proposta de Revisão: |
||
− | |||
− | |||
− | ---- |
||
− | |||
− | |||
− | A discussão abaixo refere-se a proposta em análise até 02.05.2013 |
||
− | |||
− | Críticas: |
||
− | |||
− | 1) Sobre o artigo 212: |
||
− | |||
− | a) Substituir programas de computador por artefatos maliciosos é uma evolução, porém da forma que foi categorizado o artigo continua perigoso. |
||
− | |||
− | b) Quanto a posse, obtenção, distribuição e a importação (?) de artefato malicioso, há uma cadeia de analistas não prevista nos excludentes, que colaboram com a segurança e o combate ao cibercrime, indiretamente, que são os que realizam análise dos artefatos maliciosos que entre muitos estão os '''Analistas Independentes''' por exemplo o ARIS-LD da Linha Defensiva que é um grupo totalmente formado por voluntários e que não se encaixam diretamente nos excludentes. |
||
− | |||
− | |||
− | Mesmo que prática criminosa tem o caráter de infectar e gerar fraudes, através de uma série de ações e as atividade dos analistas independentes tem o objetivo de combater de alguma forma as ameaças geradas por tais artefatos, eles não se encaixam diretamente em nenhum dos excludentes. |
||
− | |||
− | Penalizar o ato de posse, obtenção e distribuição funciona bem para artigos de pedofilia, não para artefatos maliciosos como trojan bancários, exploits de vulnerabilidades em sistemas, rootkits ou hardware de keylogger. |
||
− | |||
− | |||
− | 2) Artigo 209: |
||
− | |||
− | a) Ao invés de "outros documentos privados" talvez o ideal seja "dados informatizados armazenados no sistema". Da forma que o texto está, eu já estou imaginando como driblar o artigo, ele está frágil. |
||
− | |||
− | b) E sobre a sugestão de que a:conduta definida nesse artigo nao eh punida quando o acesso visa preservar o interesse publico.? |
||
− | |||
− | c) nem sempre um pen-test ou teste de invasão é feito com programas que podem ser considerados artefatos maliciosos, portanto falta excludentes para o 209. |
||
− | |||
− | Fora dos artigos: |
||
− | |||
− | - Apesar do artigo 170 sobre fraude informática, as mensagems eletrônicas utilizadas para distribuição de artefatos maliciosos parece ser penalizada apenas indiretamente. |
||
− | |||
− | |||
− | Sugestões: |
||
− | |||
− | alterar a redação do 208 VII para: |
||
− | |||
− | "artefato malicioso": sistema informatizado, programa de computador ou dados com endereço localizador de recursos a sistema informatizado destinado a permitir acessos indevidos a sistemas de propriedade de terceiros ou para propagação de si próprio ou de outro artefato malicioso de uma cadeia de ameaças produzido para realização de fraudes, sabotagem, exploração de falhas ou obtenção de credenciais de acesso. |
||
− | |||
− | incluir o termo: |
||
− | |||
− | “credencial de acesso”: dados informatizados ou informações individuais que autorizam o acesso de uma pessoa a um sistema informatizado. |
||
− | |||
− | |||
− | incluir o artigo: |
||
− | |||
− | '''Obtenção de Credenciais de Acesso de Outrem''' |
||
− | |||
− | Art.NNN. Praticar, contratar, comprar ou induzir tentativa ou obtenção indevida de credenciais de acesso de outrem, sem autorização, para acesso a sistema informatizado. |
||
− | |||
− | Pena - Prisão de 1 a 3 anos e multa. |
||
− | |||
− | |||
− | Ação penal |
||
− | § 1º: Somente se procede mediante representação. |
||
− | |||
− | |||
− | Causa de aumento de pena |
||
− | |||
− | § 2º Caso as credenciais de acesso a sistema informatizado forem empregadas para obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem, aumenta-se a pena de um a dois anos. |
||
− | Aqui acaba chocando com a fraude informática. Precisamos mudar essa redação. |
||
− | [NOTA] Acho que vocês sacaram a essência da idéia, enfim mudem a vontade [AF] |
||
− | |||
− | § 3º Havendo a divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidas, aumenta-se a pena de dois a três anos se o fato não constitui crime mais grave. |
||
− | |||
− | § 4º: Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos. |
||
− | |||
− | Excludente |
||
− | |||
− | § 5º: Não é punível a conduta descrita no caput quando realizada para fins de: |
||
− | |||
− | |||
− | I - teste autorizado de verificações de vulnerabilidade de sistemas |
||
− | |||
− | II - investigação por parte das forças de segurança pública, mediante permissão legal; e |
||
− | |||
− | III - investigação por agente devidamente qualificado e previamente autorizado pelo titular do sistema informatizado |
||
− | |||
− | IV - falecimento do titular das credenciais, havendo autorização de familar ou representante legal. |
||
− | |||
− | == Relação com o poder público == |
||
− | |||
− | Não sei se eu estou divagando demais, mas reparei que em geral quando o artigo é aplicado a "Administração Pública, ..." a penalidade é sempre bem mais severa do que contra entes privados. |
||
− | |||
− | Mas fico me perguntando. Como fica, por exemplo, o trabalho de jornalismo investigativo? Na tentativa de descobrir casos de corrupção e outros similares? |
||
− | |||
− | Além disso, qual o risco de se haver conflitos entre a lei de acesso à informação e este projeto? Até que ponto ele pode prejudicar o acesso à informação pública de direito, principalmente quando depende da "vontade" de alguns servidores e gestores públicos "mal intencionados"? Será que corre-se o risco de reduzir a efetividade da Lei de Acesso? |
||
− | |||
− | Enfim, algumas questão que não sei quais são as respostas, mas que acho importante ponderá-las. |
||
− | |||
− | [[Usuário:Aleph|ALFC]] ([[Usuário Discussão:Aleph|discussão]]) 16h04min de 4 de maio de 2013 (BRT) |
||
− | A lei visa penalizar o que á acesso indevido. O que já era aprovado antes, é considerado devido; de fato não há vetor de riscos, pelo contrário. A lei de acesso acaba sendo um dos pilares na definição do que é permitido. |
||
− | Por outro lado, durante o processo de discussão, o tempo todo houve este desconforto sobre "o que é devido" e o que é "não autorizado". Visto que acaba tendo a influência de outras leis, onde não é possível ter compreensão plena da lei analisando-a isoladamente. Visto que o código penal em si tem outras alterações no processo de revisão tem que ser entendidos também para uma compreensão plena. |
||
− | Portanto, nossa colaboração foi mais no sentido de tentar mitigar algumas tempestades perfeitas como de criar excludentes e restringir a cobertura de certas interpretações. Assim, como propomos artigos e conceitos para se conseguir dar foco adequado para certos crimes. |
||
− | 16h04min de 4 de maio de 2013 (BRT)~ |
Edição atual tal como às 23h17min de 4 de maio de 2013
Redirecionar para: