Discussão:Proposta Revisao

De Garoa Hacker Clube
Revisão de 22h21min de 3 de maio de 2013 por Aleph (discussão | contribs)
Ir para navegação Ir para pesquisar

Ante-projeto do código penal com a atual sugestão de revisão da lei de cibercrime: http://www.ibccrim.org.br/upload/noticias/pdf/projeto.pdf

Lei de protugal: http://www.cnpd.pt/bin/legis/nacional/LEI109_2009_CIBERCRIME.pdf

Cybercrime Convetion Commitee (T-CY) http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/T-CY/Default_TCY_en.asp

Convenção de Budapeste: http://www.coe.int/t/dghl/standardsetting/t-cy/ETS_185_Portugese.pdf

Registrem aqui a discussão do commit de 03.05.2013 (não esqueçam de registar vossos usuários)

Notas:


Questionamento:


Proposta de Revisão:


A discussão abaixo refere-se a proposta em análise até 02.05.2013

Críticas:

1) Sobre o artigo 212:

a) Substituir programas de computador por artefatos maliciosos é uma evolução, porém da forma que foi categorizado o artigo continua perigoso.

b) Quanto a posse, obtenção, distribuição e a importação (?) de artefato malicioso, há uma cadeia de analistas não prevista nos excludentes, que colaboram com a segurança e o combate ao cibercrime, indiretamente, que são os que realizam análise dos artefatos maliciosos que entre muitos estão os Analistas Independentes por exemplo o ARIS-LD da Linha Defensiva que é um grupo totalmente formado por voluntários e que não se encaixam diretamente nos excludentes.


Mesmo que prática criminosa tem o caráter de infectar e gerar fraudes, através de uma série de ações e as atividade dos analistas independentes tem o objetivo de combater de alguma forma as ameaças geradas por tais artefatos, eles não se encaixam diretamente em nenhum dos excludentes.

Penalizar o ato de posse, obtenção e distribuição funciona bem para artigos de pedofilia, não para artefatos maliciosos como trojan bancários, exploits de vulnerabilidades em sistemas, rootkits ou hardware de keylogger.


2) Artigo 209:

a) Ao invés de "outros documentos privados" talvez o ideal seja "dados informatizados armazenados no sistema". Da forma que o texto está, eu já estou imaginando como driblar o artigo, ele está frágil.

b) E sobre a sugestão de que a:conduta definida nesse artigo nao eh punida quando o acesso visa preservar o interesse publico.?

c) nem sempre um pen-test ou teste de invasão é feito com programas que podem ser considerados artefatos maliciosos, portanto falta excludentes para o 209.

Fora dos artigos:

- Apesar do artigo 170 sobre fraude informática, as mensagems eletrônicas utilizadas para distribuição de artefatos maliciosos parece ser penalizada apenas indiretamente.


Sugestões:

alterar a redação do 208 VII para: 

"artefato malicioso": sistema informatizado, programa de computador ou dados com endereço localizador de recursos a sistema informatizado destinado a permitir acessos indevidos a sistemas de propriedade de terceiros ou para propagação de si próprio ou de outro artefato malicioso de uma cadeia de ameaças produzido para realização de fraudes, sabotagem, exploração de falhas ou obtenção de credenciais de acesso.

incluir o termo: 

“credencial de acesso”: dados informatizados ou informações individuais que autorizam o acesso de uma pessoa a um sistema informatizado.


incluir o artigo:

Obtenção de Credenciais de Acesso de Outrem

Art.NNN. Praticar, contratar, comprar ou induzir tentativa ou obtenção indevida de credenciais de acesso de outrem, sem autorização, para acesso a sistema informatizado.

Pena - Prisão de 1 a 3 anos e multa.


Ação penal § 1º: Somente se procede mediante representação.


Causa de aumento de pena

§ 2º Caso as credenciais de acesso a sistema informatizado forem empregadas para obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem, aumenta-se a pena de um a dois anos. Aqui acaba chocando com a fraude informática. Precisamos mudar essa redação. [NOTA] Acho que vocês sacaram a essência da idéia, enfim mudem a vontade [AF]

§ 3º Havendo a divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidas, aumenta-se a pena de dois a três anos se o fato não constitui crime mais grave.

§ 4º: Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.

Excludente

§ 5º: Não é punível a conduta descrita no caput quando realizada para fins de:


I - teste autorizado de verificações de vulnerabilidade de sistemas

II - investigação por parte das forças de segurança pública, mediante permissão legal; e

III - investigação por agente devidamente qualificado e previamente autorizado pelo titular do sistema informatizado

IV - falecimento do titular das credenciais, havendo autorização de familar ou representante legal.

Disponível em “https://garoa.net.br/mediawiki/index.php?title=Discussão:Proposta_Revisao&oldid=10262