Mudanças entre as edições de "Discussão:Proposta de Revisao da Lei de Crimes Ciberneticos"

Ante-projeto do código penal com a atual sugestão de revisão da lei de cibercrime: http://www.ibccrim.org.br/upload/noticias/pdf/projeto.pdf

Lei de portugal: http://www.cnpd.pt/bin/legis/nacional/LEI109_2009_CIBERCRIME.pdf

Cybercrime Convetion Commitee (T-CY) http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/T-CY/Default_TCY_en.asp

Convenção de Budapeste: http://www.coe.int/t/dghl/standardsetting/t-cy/ETS_185_Portugese.pdf

Alberto Fabiano (discussão) 23h45min de 3 de maio de 2013 (BRT)

Expressem abaixo suas dúvidas e não esqueçam de registar seus usuários.

Alberto Fabiano (discussão) 23h47min de 3 de maio de 2013 (BRT)

A discussão abaixo refere-se a proposta em análise até 02.05.2013

Críticas:

1) Sobre o artigo 212:

a) Substituir programas de computador por artefatos maliciosos é uma evolução, porém da forma que foi categorizado o artigo continua perigoso.

b) Quanto a posse, obtenção, distribuição e a importação (?) de artefato malicioso, há uma cadeia de analistas não prevista nos excludentes, que colaboram com a segurança e o combate ao cibercrime, indiretamente, que são os que realizam análise dos artefatos maliciosos que entre muitos estão os Analistas Independentes por exemplo o ARIS-LD da Linha Defensiva que é um grupo totalmente formado por voluntários e que não se encaixam diretamente nos excludentes.

Mesmo que prática criminosa tem o caráter de infectar e gerar fraudes, através de uma série de ações e as atividade dos analistas independentes tem o objetivo de combater de alguma forma as ameaças geradas por tais artefatos, eles não se encaixam diretamente em nenhum dos excludentes.

Penalizar o ato de posse, obtenção e distribuição funciona bem para artigos de pedofilia, não para artefatos maliciosos como trojan bancários, exploits de vulnerabilidades em sistemas, rootkits ou hardware de keylogger.

2) Artigo 209:

a) Ao invés de "outros documentos privados" talvez o ideal seja "dados informatizados armazenados no sistema". Da forma que o texto está, eu já estou imaginando como driblar o artigo, ele está frágil.

b) E sobre a sugestão de que a:conduta definida nesse artigo nao eh punida quando o acesso visa preservar o interesse publico.?

c) nem sempre um pen-test ou teste de invasão é feito com programas que podem ser considerados artefatos maliciosos, portanto falta excludentes para o 209.

Fora dos artigos:

- Apesar do artigo 170 sobre fraude informática, as mensagems eletrônicas utilizadas para distribuição de artefatos maliciosos parece ser penalizada apenas indiretamente.

Sugestões:

alterar a redação do 208 VII para:

"artefato malicioso": sistema informatizado, programa de computador ou dados com endereço localizador de recursos a sistema informatizado destinado a permitir acessos indevidos a sistemas de propriedade de terceiros ou para propagação de si próprio ou de outro artefato malicioso de uma cadeia de ameaças produzido para realização de fraudes, sabotagem, exploração de falhas ou obtenção de credenciais de acesso.

incluir o termo:

“credencial de acesso”: dados informatizados ou informações individuais que autorizam o acesso de uma pessoa a um sistema informatizado.

incluir o artigo:

Obtenção de Credenciais de Acesso de Outrem

Art.NNN. Praticar, contratar, comprar ou induzir tentativa ou obtenção indevida de credenciais de acesso de outrem, sem autorização, para acesso a sistema informatizado.

Pena - Prisão de 1 a 3 anos e multa.

Ação penal § 1º: Somente se procede mediante representação.

Causa de aumento de pena

§ 2º Caso as credenciais de acesso a sistema informatizado forem empregadas para obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem, aumenta-se a pena de um a dois anos. Aqui acaba chocando com a fraude informática. Precisamos mudar essa redação. [NOTA] Acho que vocês sacaram a essência da idéia, enfim mudem a vontade [AF]

§ 3º Havendo a divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidas, aumenta-se a pena de dois a três anos se o fato não constitui crime mais grave.

§ 4º: Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.

Excludente

§ 5º: Não é punível a conduta descrita no caput quando realizada para fins de:

I - teste autorizado de verificações de vulnerabilidade de sistemas

II - investigação por parte das forças de segurança pública, mediante permissão legal; e

III - investigação por agente devidamente qualificado e previamente autorizado pelo titular do sistema informatizado

IV - falecimento do titular das credenciais, havendo autorização de familar ou representante legal.

Relação com o poder público

Não sei se eu estou divagando demais, mas reparei que em geral quando o artigo é aplicado a "Administração Pública, ..." a penalidade é sempre bem mais severa do que contra entes privados.

Mas fico me perguntando. Como fica, por exemplo, o trabalho de jornalismo investigativo? Na tentativa de descobrir casos de corrupção e outros similares?

Além disso, qual o risco de se haver conflitos entre a lei de acesso à informação e este projeto? Até que ponto ele pode prejudicar o acesso à informação pública de direito, principalmente quando depende da "vontade" de alguns servidores e gestores públicos "mal intencionados"? Será que corre-se o risco de reduzir a efetividade da Lei de Acesso?

Enfim, algumas questão que não sei quais são as respostas, mas que acho importante ponderá-las.

Alberto Fabiano (discussão) 16h04min de 4 de maio de 2013 (BRT)

Rabatone, a pergunta é excelente! No meu entendimento, são leis distintas que tratam casos diferentes. A Lei de Acesso trata de dados públicos e que não pode ser considerado sigiloso! Já a lei de crimes cibernéticos visa penalizar invasões de sistemas e revelação indevida de dados sigilosos, são leis distintas onde uma não invalida a outra. Pelo contrário, a Lei de Acesso define algumas categorias do que é "devido", enquanto a lei de cibercrime tem o objetivo de penalizar casos de acesso indevido.

Este é o meu entendimento, sendo-se que pós consultar a dra.Melissa, procuradora da república, ela corroborou minha interpretação e ainda ressaltou que uma coisa são informações públicas que por um erro estavam bloqueadas, que são recuperados por algum meio de acesso, que portanto não é indevido. Acessar sistema restrito, mesmo em investigação de corrupção, que não tenha dado publico, é crime. Há mecanismos para conduzir este processo de investigação de forma legal, no qual violação de sistemas é uma forma de invalidar o processo e não de colaborar.

16h04min de 4 de maio de 2013 (BRT)~