Proposta de Revisao da Lei de Crimes Ciberneticos/FAQ
FAQ
Legais
No que este projeto afeta a Lei 12.527/2011, de Acesso à Informação no Brasil?
R: Em absolutamente nada. O projeto pune o acesso indevido e não o acesso a informações públicas, assim definidas na lei e na Constituição Federal.
Porque vocês decidiram empregar o termo acesso no artigo 209?
R: O termo invasão, usado na Lei 12.737/2012 é impróprio. Conforme o Houaiss, invadir é "penetrar num determinado lugar e ocupá-lo pela força; apoderar-se, tomar, conquistar; ocupar um lugar de forma maciça e abusiva". Há, assim, uso de força, que pode não estar presente no acesso a sistema informatizado, muitas vezes feito de forma dissimulada, furtiva e discreta. Empregar o verbo "invadir" dá margem à interpretação de que somente quando houver emprego de "força" haverá crime, o que certamente vai deixar sem punição inúmeros casos. É preciso ter em mente que o que caracteriza o crime não é o núcleo do tipo, o verbo, mas sim o "indevidamente". Só há crime se o acesso for indevido.
Porque na área de conceitos foram empregados termos como sistemas informatizados e dados informatizados?
R: Os conceitos foram pensados para serem abrangentes, de modo que possam ser interpretados no futuro de acordo com as tecnologias que ainda vão surgir. Há, ainda, a preocupação de não se afastar muito dos conceitos da Convenção de Budapeste, que é aplicada na Europa, EUA e Japão. A igualdade de conceitos facilita a cooperação internacional, necessária em grande parte dos casos.
Porque esta diferença entre penas para acesso indevido entre sistemas públicos e privados?
R: Porque entende-se que o fato é mais grave quando praticado em detrimento da Administração. Veja-se um exemplo: alguém acessa o sistema da Receita e assim consegue informações pessoais de milhões de contribuintes. Isso é muito mais grave do que a ação que acessa um computador doméstico ou informações da base de dados de uma editora com uma revista de grande circulação. Daí, a punição mais severa.
Isso, evidentemente, não atinge dados públicos, conforme a Lei de Acesso. Esses dados não são abrangidos por sigilo e por isso o acesso não configura crime, muito menos na forma qualificada.
É também uma fórmula muito superior à atualmente em vigor (lei 12.737/2012), que pune mais severamente quem pratica o crime contra determinadas pessoas, quase um "lesa majestade". A Administração Pública é que merece proteção maior e não os governantes que estão, temporariamente, em cargos públicos.
Porque vocês consideram que a posse e o desenvolvimento de artefatos deve ser punida? Não seria mais justo se concentrar apenas nos atos criminosos, isto não dá margem para injustiças?
R: Porque o programador que desenvolve artefatos para a prática de crimes também merece punição - ele é parte essencial do crime, que não existe sem sua expertise. As quadrilhas que atuam com fraudes são, normalmente, compartimentadas. Seja um programador que compra componentes de crimeware e age com um integrador ou um programador vende programas para fraudes para várias quadrilhas, mas nem sempre participa da ação final, de subtração dos valores. Assim, se não houver punição específica, não é possível reprimir essa prática, que continuará a ser realizada. Isso gera uma evidente distorção: todos praticam o mesmo crime, mas só quem sacou o dinheiro é punido.
A previsão atual do § 1º so artigo 154-A (Lei 12.737) é bem pior porque pode permitir a punição de programadores que criam ferramentas destinadas a pesquisa ou aprimoramento de sistemas de segurança.
Optou-se, assim, por criar uma excludente para evitar a punição daqueles que desenvolvem artefatos, mas com fins lícitos, como pesquisadores e desenvolvedores das áreas de segurança. Isso permite a continuidade da evolução e dos estudos, mas com responsabilização de quem visa apenas alimentar o mercado de fraudes.
Porque não há previsão de multas para crimes que sejam mais leves e há apenas a penalização por prisão?
R: Porque a multa, na prática, não gera efeitos. As penas como previstas permitem transação penal (pena máxima até dois anos), que normalmente gera multa ou prestação de serviços à comunidade, sem efeitos de condenação; e suspensão do processo (pena mínima igual ou inferior a um ano), que não gera condenação. Na hipótese de haver condenação, só haverá prisão em casos extremos, quando a pena aplicada for superior a quatro anos (até aqui, cabe suspensão por multa e prestação de serviços), e regime fechado somente quando a pena for superior a oito anos. Essa regras valem para todos os crimes do código e estão na parte geral.
Qual a chance de uma vítima sofrer condenação por crime culposo, pela segurança do seu sistema ser fraca e não ter corrigido vulnerabilidades conhecidas e noticiadas que tenham favorecido um acesso indevido, roubo de credenciais de acesso e dados informatizados?
R: Nenhuma. Não há previsão de crime culposo. As condutas são todas dolosas (consciência e vontade).
Levando em consideração a tendência internacional, porque as penas para cada artigo são tão baixas, especialmente para o artigo 209?
R: Realmente, recentemente tem ocorrido casos de severas penas, como foi noticiado que a Justiça da Califórnia (EUA) condenou a 10 anos de prisão, além do pagamento de indenização no valor de 76 mil dólares, um cibercriminoso acusado de roubar fotos de celebridades pela Web. Mas dentro da doutrina do código penal brasileiro, neste projeto estas penas são aparentemente baixas porque não há violência e nem grave ameaça. As penas precisam ser harmônicas com as demais previsões do Código Penal. A prática tem demonstrado que punição efetiva, mesmo com penas baixas, é que diminui a pratica criminosa. As penas, como estão, permitem, em geral, penas alternativas, que são muito eficazes na prática, deixando a prisão apenas para casos mais graves.
O compartilhamento de senhas pessoais, ainda que uma pratica não recomendável, pode ser incriminada por este artigo 213?
R: Não. O artigo exige que a obtenção seja indevida. Se eu repassar minha senha para outro, este ato não é enquadrado neste crime.
Se um cidadão não proteger sua máquina e por ventura tenha sido infectado, passando a possuir e também a disseminar o artefato malicioso. Pelo artigo 214, a ele seria imputada a mesma responsabilidade penal que cabe ao indivíduo que produziu o artefato?
R: Não. A conduta é sempre dolosa. Se ele não sabe que a máquina está infectada, não há como ser punido.
Se o cidadão recebeu um email, clicou em um link indevido e tornou sua máquina um zumbi de uma botnet do tipo DoSnet, com objetivo de realizar DDoS (Distributed Denial of Service) em sites do governo. Ele seria então autor/co-autor de sabotagem informática segundo o texto do artigo 210?
R: Não. O tipo é doloso. O agente precisa ter ciência e vontade.
Ao invés de se importar com esta tal Convenção de Cibercrimes de Budapeste, não seria mais importante se importar com a soberania da nossa federação e legislar de acordo com os interesses de nossa sociedade de forma justa e correta?
R: É necessário ter em mente que o Brasil não está sozinho no mundo. Por mais que tenhamos preocupação e queiramos, sempre, preservar a soberania nacional, os crimes cibernéticos, ou o nome que se dê a eles, são globais, afetam diversos países ao mesmo tempo e são investigados de forma global. É raro, hoje, uma investigação que não tenha suspeitos em vários países e que, por isso, não demande cooperação internacional.
A cooperação internacional, nesses casos, é um capítulo à parte. Nos moldes hoje previstos ela é ineficaz para a investigação de crimes cibernéticos, o que tem motivado o desenvolvimento de mecanismos alternativos. De qualquer forma, em qualquer hipótese, a cooperação e a troca de informações exige a dupla incriminação - o fato tem que ser definido como crime nos dois países - daí a necessidade de legislações mais uniformes.
O projeto colocada para discussão já vai muito além da Convenção, pensando principalmente na realidade brasileira.
Técnicas
Porque não foi criado um artigo para tratar phishing?
R: O conceito artefato malicioso presente no artigo 208, foi elaborado de tal forma a cobrir também o phishing, não só ele como uma série de ameaças, sendo o conceito amplo o suficiente para inclusive contemplar cenários futuras.
Na definição de credenciais de acesso, características individuais quer dizer biometria?
R: Também, devido sua singularidade e considerando que biometria são características físicas ou comportamentais das pessoas que podem ser empregadas para identificá-las única e individualmente, apesar de em alguns casos a propriedade de permanência não ser das melhores como no caso da Íris, por ser identificado que ela sofre alterações em seus desenhos com o envelhecimento. Mas, o conceito de credenciais foi concebido para ser amplo e não especificamente para este caso de uso.
Um utilitário de administração de sistema, como o psexec, pode ser considerado artefato malicioso e ser criminalizado por este projeto?
R: Apesar dele ser empregado em cadeia de acessos indevidos, como em ataques direcionados, em etapas como o movimento lateral, sendo por exemplo muito comum em casos de APTs o psexec não foi concebido para este fim, portanto não. Vale ressaltar que se um programa é concebido com determinada função lícita, ele não pode ser considerado um artefato malicioso. E se este é empregado na prática de um crime, não são responsáveis os desenvolvedores, mas apenas o usuário que agiu indevidamente.
Um pen-drive pode ser considerado um artefato malicioso e ser criminalizado?
R: Depende. Se o pen-drive foi preparado, seja via firmware ou sua parte eletro-eletrônica, para causar alguns dos crimes previstos no projeto, efetivamente sim. Se ele é apenas um meio de armazenamento de um software que foi concebido para a prática criminosa, mesmo se utilizando de vulnerabilidades no qual o pen-driveé peça fundamental, como empregando explorações das vulnerabilidades descritas pelas CVE-2009-0243, CVE-2012-4054 ou da popular CVE-2010-2568, não.
Um packer ou crypter pode ser considerado um artefato malicioso e ser criminalizado?
R: Depende. Originariamente estas são categorias de utilitários que visam proteger a propriedade intelectual empregada no desenvolvimento de um módulo ou sistema informatizado, tendo como objetivo dificultar sua engenharia reversa. Mas há crypters que nitidamente são desenvolvidos para dificultar a detecção de artefatos maliciosos e sabotar sofwares empregados na investigação e análise de artefatos suspeitos, além de também facilitar golpes e fraudes. Dependendo das características, há tipos que podem ser considerados artefatos maliciosos, assim como outros componentes que tenham sido desenvolvidos com o objetivo de criar artefatos maliciosos, mas é necessário uma análise e investigação cuidadosa de cada caso.