Introdução

"Given enough eyeballs, all bugs are shallow" -- Linus Torvalds

  Esta página faz parte da iniciativa do Grupo de Estudo de Direito Cibernetico do Garoa.

Histórico

Desde o surgimento do projeto de lei, que passou a ser chamado de Carolina Dieckmann, este foi muito questionado por diversos aspectos, em várias esferas da sociedade, em vária listas de discussão e inclusive no Garoa Hacker Clube, principalmente pelos profissionais de segurança da informação, devido seus dispositivos confusos, amplos, cheio de margens para dupla interpretação, mostrando que ela poderia se tornar uma lei injusta e ineficaz. O que acabou levando a alguns a apelida-la de "Lei Canelada Dieckmann" realizando uma alusão tanto ao incidente quanto ao processo de aprovação da lei, que teve debate restrito, sem participação da sociedade, sendo-se que a mesma não passou pela Comissão de Constituição e Justiça (CCJ) devido um requerimento de urgência, portanto sendo criticado até pelo Senado Federal e também por juristas, peritos, assim como pelo ministério público federal, por uma série de fatores, onde por exemplo, por esta não contribuir para a eficiência no combate ao crime cibernético no Brasil e do nosso lado, pelo fato dela ter grande potencial de criminalizar ações de pesquisa e desenvolvimento envolvendo segurança da informação, devido suas abordagem equivocadas, podendo assim criminalizar haking éticos e colaborativos.

Eis que então, que no processo de reforma do Código Penal Brasileiro conduzido por Comissão Especial Interna do Senado Federal, que tem como presidente o Senador Eunício Oliveira (PMDB/CE), vice-presidente o Senador Jorge Viana (PT/AC) e como relator o Senador Pedro Taques (PDT/MT), acabaram decidindo que o projeto que trata de Crimes Cibernéticos caminharia separadamente.

Num processo meio que aleatório, de revolta e inconformismo, começamos a entrar em contato com algumas pessoas sobre o atual projeto, onde uma delas foi a procuradora federal Melissa Blagitz de Abreu e Silva, sendo-se que neste processo de crítica ela acabou nos convidando a colaborar num processo construção de uma contra-proposta, tentando aliar duas experiências distintas para construir esta proposta, o que de imediato, realizando uma articulação um pouco mambembe com algumas pessoas que nos últimos 12 meses eventualmente estávamos discutindo este e outros assuntos correlatos, iniciamos a atividade.

E como o Pedro Markun já estava levantando a bola de se fazer uma contra-proposta, fomos compartilhando o resultado deste trabalho também na lista transparência hacker.

Resultados

Este texto é fruto de uma iniciativa de análise conjunta, num exercício de crítica construtiva, de um [Grupo de Estudo de Direito Cibernetico|núcleo específico do Garoa ]] em conjunto com as procuradoras da república do GT de Crimes Cibernéticos do MPF-SP, que durante o período de 19 de abril e 02 de maio de 2013, tendo recebido colaborações de várias pessoas, dentre ele os profissionais Ralf Braga (hoje em Portugal) e do jornalista Altieres Rohr, editor do site Linha Defensiva, também contando com inputs do grupo [Transparência Hacker], resultando assim neste texto.

A Proposta

Resultado dos estudos e debates realizados até 02.05.2013

TÍTULO VI - CRIMES CIBERNÉTICOS

Conceitos

art. 208. Para feitos penais, considera-se:

I - “sistema informatizado”: qualquer dispositivo ou conjunto de dispositivos, interligados ou associados, em que um ou mais de um entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informatizados, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informatizados armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção;

II - “dados informatizados”: qualquer representação de fatos, informações ou conceitos sob forma suscetível de processamento num sistema informatizado, incluindo programas de computador;

III - “provedor de serviços”: qualquer entidade, pública ou privada, que faculte aos utilizadores de seus serviços a capacidade de comunicação por meio de seu sistema informatizado, bem como qualquer outra entidade que trate ou armazene dados informatizados em nome desse serviço de comunicação ou de seus utentes;

IV - “dados de tráfego”: dados informatizados relacionados com uma comunicação efetuada por meio de um sistema informatizado, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o trajeto, a hora, a data, o tamanho, a duração ou o tipo de serviço subjacente;

V - “programa de computador”: conjunto de instruções que descrevem as ações a serem realizadas por um dispositivo computacional;

VI – “segurança cibernética”: conjunto de tecnologias, processos, informações e práticas destinadas a proteger sistemas informatizados de ataques, danos, sabotagem ou acessos não autorizados;

VII - “artefato malicioso”: sistema informatizado, programa de computador ou endereço localizador de acesso a sistema informatizado destinados a permitir acessos não autorizados, fraudes, sabotagens, exploração de vulnerabilidades ou a propagação de si próprio ou de outro artefato malicioso.

VIII - “credencial de acesso”: dados informatizados, informações ou características individuais que autorizam o acesso de uma pessoa a um sistema informatizado.

Acesso indevido

Art. 209. Acessar, indevidamente, por qualquer meio, direto ou indireto, sistema informatizado de outrem.

Pena – prisão, de um a dois anos.

Acesso indevido qualificado

§1º Se do acesso resultar:

I - prejuízo econômico;

II - obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais e industriais, informações ou outros documentos ou dados privados;

III - controle remoto não autorizado do dispositivo acessado:

Pena: prisão, de 1 a 4 anos.

§2º Se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos:

Pena: prisão, de 2 a 4 anos.

Causa de aumento de pena

§ 3º: Nas hipóteses dos §§ 1º e 2º, aumenta-se a pena de um a dois terços se houver a divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos, se o fato não constitui crime mais grave.

Ação penal

§ 4º: Somente se procede mediante representação, salvo na hipótese do § 2º deste artigo.

Sabotagem informática

Art. 210. Interferir sem autorização do titular ou sem permissão legal, de qualquer forma, na funcionalidade de sistema informatizado ou de comunicação de dados computacionais, de outrem, causando-lhes entrave, impedimento, interrupção ou perturbação grave, ainda, que parcial.

Pena – prisão, de 1 a 4 anos.

Parágrafo único – A pena aumenta-se de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.

Dano a dados informatizados

Art. 211. Destruir, danificar, deteriorar, inutilizar, apagar, modificar, suprimir ou, de qualquer outra forma, interferir, sem autorização do titular ou sem permissão legal, dados informatizados de outrem, ainda que parcialmente.

Pena – prisão de 1 a 3 anos, e multa

Parágrafo único: Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.

Fraude informatizada

Art. 212. Obter, para si ou para outrem, em prejuízo alheio, vantagem ilícita, mediante a introdução, alteração ou supressão de dados informatizados, ou interferência por qualquer outra forma, indevidamente, no funcionamento de sistema informatizado:

Pena – de prisão, de um a cinco anos.

§ 1º A pena aumenta-se de um terço se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime.

§ 2º Aplicam-se as disposições do crime de estelionato sobre aumento ou diminuição de pena, multa exclusiva e extinção da punibilidade.

Obtenção indevida de credenciais de acesso

Art. 213. Adquirir, obter ou receber, por qualquer forma, indevidamente, credenciais de acesso de outrem a sistema informatizado.

Pena: prisão, de 1 a 3 anos.

Parágrafo único: Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.

Artefato malicioso

Art. 214. Produzir, adquirir, obter, vender, manter, possuir ou por qualquer forma distribuir, sem autorização, artefatos maliciosos destinados a produzir as ações descritas nos artigos 209, 210, 211, 212 e 213.

Pena – a cominada à conduta realizada pelo artefato.

Excludente

Parágrafo único- Não são puníveis as condutas descritas no caput quando realizadas para fins de:

I – investigação por agentes públicos no exercício de suas funções;

II - pesquisa acadêmica;

III – testes e verificações autorizadas de vulnerabilidades de sistemas; e

IV – desenvolvimento, manutenção e investigação visando o aperfeiçoamento de sistemas de segurança cibernética.

O artigo 211, que trata da ação penal, fica suprimido. A ação será pública, sem necessidade de ação da vítima, exceto nos casos do artigo 209.

Folks... críticas, notas, comentários e questionamentos devem ser realizadas na aba de Discussão:Proposta_de_Revisao_da_Lei_de_Crimes_Ciberneticos