Baixe o app para aproveitar ainda mais
Prévia do material em texto
SISTEMAS CRIPTOGRÁFICOS, BIOMÉTRICOS, DIREITO DIGITAL E RESPONSABILIDADE CIVIL NA QUESTÃO DA MONITORAÇÃO ELETRÔNICA Faculdade de Minas 2 SUMÁRIO NOSSA HISTÓRIA ..................................................................................................... 3 ASPECTOS TÉCNICOS DA CRIPTOGRAFIA .......................................................... 4 PRINCÍPIOS DA CRIPTOGRAFIA ............................................................................. 6 CRIPTOGRAFIA DE CHAVE SIMÉTRICA ................................................................. 9 CRIPTOGRAFIA DE CHAVE PÚBLICA ..................................................................... 9 FUNÇÕES DE RESUMO CRIPTOGRÁFICO .......................................................... 11 ASSINATURA DIGITAL ........................................................................................... 13 CERTIFICADO DIGITAL .......................................................................................... 15 REQUISITOS DE SEGURANÇA DA INFORMAÇÃO COM CRIPTOGRAFIA ......... 16 BIOMETRIA DA DIGITAL ......................................................................................... 18 SISTEMA DE IDENTIFICAÇÃO BIOMÉTRICA ATRAVÉS DA IMPRESSÃO DIGITAL ................................................................................................................................. 20 DIREITO DIGITAL .................................................................................................... 21 NOVO CAMPO DO DIREITO ................................................................................... 23 LEIS LIGADAS AO DIREITO DIGITAL .................................................................... 24 MONITORAÇÃO ELETRONICA .............................................................................. 26 ANONIMATO NA REDE ........................................................................................... 29 FRAUDE ELETRÔNICA ........................................................................................... 31 O DIREITO E A REPERCUSSÃO CÍVEL DOS DELITOS COMETIDOS NA INTERNET ............................................................................................................... 35 RESPONSABILIDADE CIVIL ................................................................................... 36 RESPONSABILIDADE CIVIL NO DIREITO COMPARADO À INFORMÁTICA ........ 37 REFERENCIAS ........................................................................................................ 39 Faculdade de Minas 3 NOSSA HISTÓRIA A nossa história inicia com a realização do sonho de um grupo de empresários, em atender à crescente demanda de alunos para cursos de Graduação e Pós- Graduação. Com isso foi criado a nossa instituição, como entidade oferecendo serviços educacionais em nível superior. A instituição tem por objetivo formar diplomados nas diferentes áreas de conhecimento, aptos para a inserção em setores profissionais e para a participação no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que constituem patrimônio da humanidade e comunicar o saber através do ensino, de publicação ou outras normas de comunicação. A nossa missão é oferecer qualidade em conhecimento e cultura de forma confiável e eficiente para que o aluno tenha oportunidade de construir uma base profissional e ética. Dessa forma, conquistando o espaço de uma das instituições modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, excelência no atendimento e valor do serviço oferecido. Faculdade de Minas 4 ASPECTOS TÉCNICOS DA CRIPTOGRAFIA A criptografia, conforme apresenta Schneier (1996, p. 1), é a ciência e arte de manter uma comunicação segura. Por muito tempo esteve voltada para uma operação sobre a linguagem com propósito predominantemente militar. Recentemente, a lógica computacional, transformadora da linguagem escrita e falada em números, levou ao surgimento da criptografia moderna. Os algoritmos criptográficos são atualmente operações lógico-matemáticas sobre blocos de bits (0 e 1) e têm sido utilizados extensivamente para implementar segurança da informação nesse novo paradigma. Tal realidade tem promovido a aproximação entre o direito e a criptografia. À medida que os procedimentos judiciais se integram ao mundo digital, aumenta-se a demanda por um ambiente em que os dados estejam seguros, prestigiando, em última instância, o princípio da segurança jurídica no processo. Para que o trâmite dos autos ocorra de modo seguro, é necessária a implementação dos seguintes requisitos, segundo nos apresenta Forouzan (2006, p. 711-713): a) Confidencialidade: também conhecida como privacidade, este requisito impõe que apenas os envolvidos na comunicação sejam capazes de compreender o significado da mensagem transmitida. Normalmente é a característica mais atrelada ao termo criptografia. b) Integridade: garante que nenhum dado foi alterado ao longo do seu percurso e chegou ao destinatário tal como fora produzido pelo remetente. Faculdade de Minas 5 c) Autenticação: exigência que se faz de que a outra parte com quem se comunica seja realmente quem alega ser. No dia-a-dia, a autenticação é realizada seja pelo contato visual, seja pelo reconhecimento da voz. Nas comunicações digitais, a criptografia precisa se utilizar de estratégias matemáticas para trazer essa confirmação. d) Não repúdio: significa dizer que, atendidos alguns requisitos dos protocolos criptográficos, os envolvidos na comunicação não podem negar a autoria das mensagens que produziram. e) Disponibilidade e controle de acesso: por esse requisito, os dados da comunicação só podem ser acessados por pessoas autorizadas para tanto (controle de acesso) e no instante em que se fizer necessário (disponibilidade). Existem três tipos de termos muito utilizados: (kriptós = escondido, oculto; grápho = grafia) : é a arte ou ciência de escrever em cifra ou em códigos, de forma a permitir que somente o destinatário a decifre e a compreenda. (kriptós = escondido, oculto; análysis = decomposição) : é a arte ou ciência de determinar a chave ou decifrar mensagens sem conhecer a chave. Uma tentativa de criptoanálise é chamada ataque. (kriptós = escondido, oculto; logo = estudo, ciência) : é a ciência que reúne a criptografia e a criptoanálise. A criptoanálise está repartida em diversas categorias, considerando os modo de taque: Ataque ao ciphertext: somente compreende a técnica de decifrar o criptograma através da comparação de vários códigos produzidos pelo mesmo sistema até se encontrar o esquema adotado. Pode ser útil na criptografia usual, mas é inútil em códigos gerados por um computador. O PGP(Pretty Good Privacy – Ótima Faculdade de Minas 6 Privacidade) , por exemplo, usa um esquema matemático randômico a cada encriptação. Interceptação: método clássico usado antigamente pelos espiões para descobrir a senha. Consiste em controlar os canais de comunicação do indivíduo, na expectativa de que em algum momento ele divulgue a senha de decodificação. Rastreamento de Falhas: os algorítmos de encriptação são bombardeados de código até que alguma função má programada revele uma brecha no sistema. Os aficionados na técnicas de quebrar códigos prevêem o uso da criptanálise quântica, aliança entre a técnica de tentativa e erro e a computação quântica, infinitamente mais veloz que o processamento serial, e portanto, capaz de calcular mais rápido combinações e seqüência de código. Sendo assim o único método disponível para oferecer proteção contra essas categorias durante o armazenamento quando em trânsito, é a criptografia, onde: Cifrar: é o ato de transformardados em alguma forma ilegível. A intenção é de garantir a privacidade, conservando a informação escondida de qualquer pessoa não autorizada, mesmo que esta consiga visualizar os dados criptografados. Decifrar: é o processo inverso, ou seja, transforma os dados criptografados na sua forma original, inteligível. Para cifrar ou decifrar uma mensagem, é preciso obter informações confidenciais geralmente denominadas chaves ou senhas. Dependendo do método de criptografia que foi usado, a mesma chave pode ser utilizada tanto para criptografar como para decriptografar mensagens, enquanto outros mecanismos utilizam senhas diferentes. PRINCÍPIOS DA CRIPTOGRAFIA Faculdade de Minas 7 Inicialmente, é preciso esclarecer alguns conceitos que eventualmente possam confundir os não iniciados no assunto. Schneier (1996, p. 1) apresenta esses conceitos e define a criptografia como a ciência e arte de manter uma comunicação segura. Seus praticantes são chamados de criptógrafos. Por outro lado, os estudiosos que se dedicam à quebra do sigilo dessas comunicações são habitualmente chamados de criptoanalistas, uma vez que praticam a criptoanálise. Já a criptologia é um ramo específico da matemática especializada nos algoritmos que estão por trás da criptografia. Dentro da criptologia estão abarcadas a criptografia e a criptoanálise. Outros termos são recorrentemente empregados nessa área. O texto em claro significa a mensagem em sua expressão compreensível e costuma ser representada pela letra M. Antigamente, essa mensagem costumava ser um texto escrito ou impresso. Com a evolução tecnológica, passou a ser, por exemplo, um arquivo de texto, um arquivo de áudio, um fluxo de bits ou qualquer dado que seja representado por dados binários e faça sentido para o destinatário (pessoa ou programa). A mensagem criptografada, por outro lado, são os dados em seu estado incompreensível e costuma ser representada pela letra C. Para a transformação de texto claro em texto criptografado ocorre uma transformação operada pelo algoritmo criptográfico, normalmente chamado de E. Já a operação inversa para seu estado original e compreensível é realizada pelo algoritmo de decriptação, representado por D. Em busca da manutenção da confidencialidade da comunicação, faz-se necessário o uso de chaves nas operações de transformação da mensagem. Estas costumam ser representadas pela letra K. Quando a chave utilizada para embaralhar os dados é a mesma que desembaralha, tem-se o sistema de algoritmo de chave secreta; mas quando as chaves são distintas, chama-se de sistema de algoritmo de chave pública. Ambos os casos serão apresentados em maiores detalhes mais à frente. Em síntese, portanto, o texto em claro é transformado por um algoritmo de criptografia, utilizando-se uma chave, em uma mensagem criptografada: EK(M)=C Faculdade de Minas 8 No outro sentido, a mensagem criptografada é transformada pelo algoritmo de decriptação, utilizando-se de uma chave, em texto em claro. DK(C)=M A representação gráfica dessas operações pode ser vista na figura a seguir: Figura 1- Criptografia e decriptação com chaves Fonte: SCHNEIER (1996, p. 3) A soma de todos os textos em claro possíveis, das chaves, dos algoritmos e das mensagens criptografadas correspondentes compõe o que é chamado de criptosistema. Esforço dos criptoanalistas em decifrar as mensagens criptografadas pode se concentrar sobre a lógica dos algoritmos ou sobre o conhecimento das chaves. Contudo, Schneier (1996, p. 7) nos traz a advertência do princípio de Kerckhoff segundo o qual um criptosistema que dependa do desconhecimento da lógica dos algoritmos para ser seguro será uma criptografia vulnerável. O ideal é que a força da criptografia dependa exclusivamente do segredo das chaves. Melhor seria manter os algoritmos sob escrutínio permanente dos acadêmicos. Por isso, aquele autor afirma: “Os melhores algoritmos que nós temos são aqueles que se tornaram públicos, foram atacados pelos melhores criptoanalistas do mundo por anos e permanecem inquebráveis” (SCHNEIER, 1996, p.7, tradução nossa). No que diz respeito às chaves, há duas formas de implementá-las: a primeira é pelo uso de uma chave em comum nas duas operações, conformando o sistema conhecido como criptografia de chave simétrica; e a segunda forma de implementação é pelo uso de chaves distintas nas operações de cifração e decifração, conformando o sistema conhecido como criptografia de chave pública. Faculdade de Minas 9 CRIPTOGRAFIA DE CHAVE SIMÉTRICA No tipo de criptografia de chave simétrica, exige-se que remetente e destinatário compartilhem uma chave antes de estabelecerem a comunicação. Desse modo, a segurança recai sobre o segredo da chave. Para Schneier (1996, p. 4), as chaves não precisam ser necessariamente iguais, basta que sejam dedutíveis matematicamente a partir da outra: Symmetric algorithms, sometimes called conventional algorithms, are algorithms where the encryption key can be calculated from the decryption key and vice versa. In most symmetric algorithms, the encryption key and the decryption key are the same. Qualquer eventual comprometimento da chave nesse sistema expõe toda as comunicações que foram realizadas utilizando-a. Por isso, afirma Stallings (2003) que o gerenciamento da chave simétrica é um desafio em ambientes com muitas pessoas. Sempre que alguém sai desse grupo, a chave deve ser alterada em tempo razoável, o que frequentemente é inviável. Por outro lado, ainda nos lembra Stallings (2003), os algoritmos criptográficos utilizados para implementar esse sistema costumam ser menos pesados para os sistemas computacionais modernos quando comparados com os algoritmos do sistema de chave pública. CRIPTOGRAFIA DE CHAVE PÚBLICA Na criptografia de chave pública o algoritmo é projetado de maneira tal que a chave utilizada para criptografar não seja dedutível matematicamente a partir daquela utilizada na operação de decriptação (SCHNEIER, 1996, p. 4). Faculdade de Minas 10 Kurose e Ross (2006, p. 521) afirmam que a dificuldade inicial de entrar em acordo quanto a uma chave levou à criação da criptografia de chave pública. Em virtude do modo como funciona a rede mundial de computadores, é muito provável que os interlocutores não tenham tido a oportunidade prévia de combinarem uma chave em comum. A solução para essa dificuldade surgiu pelos estudos de Whitfield Difffie e Martin Hellman no ano de 1976, o que foi seguido pelo trabalho de três pesquisadores em 1978: Rivest, Shamir e Adleman. Seu produto levou as iniciais de seus criadores e ainda hoje é reconhecido pelo nome de RSA. O funcionamento se dá nos seguintes termos, consoantes explica Kurose e Ross (2006, p. 521): Alice quer comunicar um segredo a Bob, mas não tiveram a oportunidade de combinar uma chave secreta previamente. Nesse caso, cada um deles deve possuir seu próprio par de chaves; uma será a chave pública, enquanto a outra será a chave privada. Como o próprio nome sugere, não há que se esconder a chave pública; pelo contrário, ela deve ser divulgada de tal forma que seja acessível a qualquer um que queira se comunicar com seu dono em sigilo. Assim, Alice obtém a chave pública de Bob e a utiliza na operação de criptografia, tornando a mensagem ininteligível. A partir desse instante, apenas a chave privada de Bob será capaz de operar a decriptação e expor a mensagem original. Por isso, espera-se que Bob seja bastante prudente com o sigilo da sua chave privada. No sentido oposto, a estória se repete. Bob consegue a chave pública de Alice em um repositório de fácil acesso e a utiliza na criptografia. Quando ela receber, somente com o uso da sua chave (Alice) privada será possível ler a resposta de Bob. Logo, percebe-se que se trata de um conceito simples, mas bastante funcional para oambiente de redes em que vivemos atualmente. A título de ilustração, a figura a seguir mostra as operações realizadas: Figura 2 - Criptografia de chave pública Faculdade de Minas 11 Fonte: SCHNEIER, 1996. FUNÇÕES DE RESUMO CRIPTOGRÁFICO As funções de sentido único desempenham um papel central na segurança das comunicações. Por definição, elas são extremamente fáceis de calcular em um sentido, mas quase impossíveis de serem calculadas no sentido oposto (SCHNEIER, 1996, p. 30). Essa via de mão única não se presta às operações de confidencialidade citadas até aqui em que uma mensagem era inicialmente embaralhada e, na outra ponta, tornava-se novamente inteligível. No entanto, são de extrema valia quando utilizadas como funções de resumo criptográfico para a análise de possível adulteração dos dados durante o seu trânsito, conforme se passa a demonstrar. As funções de resumo criptográfico utilizam como entrada uma quantidade de dados de tamanho variável e os converte em expressão de tamanho fixo, tal como se observa na figura abaixo: Figura 3 - Exemplo de função de resumo criptográfico Faculdade de Minas 12 Fonte: https://en.wikipedia.org/wiki/Cryptographic_hash_function É habitual chamar os dados de entrada na função de “pré-imagem”, enquanto os dados de saída são nomeados “resumos criptográficos” ou “hashes” (SCHNEIER, p. 30). Como o tamanho da saída é sempre o mesmo em contraposição às possibilidades teoricamente ilimitadas da entrada, é lógico que haverá repetição de resultado para inputs diferentes. Contudo, um bom algoritmo de resumo criptográfico precisa tornar essa possibilidade significativamente remota. Seguindo a lógica das funções de sentido único, as funções hash, como também são chamadas, transformam com facilidade a pré-imagem em um resumo criptográfico, mas é matematicamente impossível obter a pré-imagem a partir do hash. Outra característica desejável é que seja resistente a colisões: significa dizer que será extremamente difícil que duas pré-imagens produzam o mesmo resumo criptográfico (STALLINGS, 2003). Conforme foi citado anteriormente, o hash não guarda nenhuma relação com a confidencialidade da comunicação. Sua contribuição à segurança da informação se Faculdade de Minas 13 presta ao requisito de integridade. Isso porque um único bit alterado na mensagem original produzirá um resumo criptográfico completamente diferente, o que viabiliza a análise de adulteração do conteúdo durante o seu trânsito. ASSINATURA DIGITAL A assinatura de documentos digitais utilizando-se da criptografia de chave pública foi a opção que obteve o maior sucesso até o momento na garantia de autenticidade exigida pela legislação. Logo, é importante conhecer suas características. Kurose e Ross (2006, p. 531) descrevem os passos necessários para a assinatura digital. Suponha que Alice queira assinar um contrato de aluguel em formato digital que esteja celebrando com Bob a distância. O passo inicial é usar a chave privada de Alice para criptografar o documento preservando uma cópia em texto claro, afinal não se pretende obter confidencialidade sobre o negócio. O arquivo resultado da criptografia com a chave privada somente tornará a ser uma cópia exata do documento original caso venha a ser descriptografado com a chave pública de Alice. Qualquer outra chave que venha a ser utilizada resultará em um documento completamente diferente daquele celebrado pelas partes. Ora, se o documento obtido confere com o original, é perfeitamente possível deduzir que somente Alice poderia ter criptografado o contrato. Nesse contexto, não só Bob pode se certificar da autenticidade da assinatura, mas qualquer pessoa em posse da chave pública de Alice tem essa capacidade. Os referidos procedimentos tomam a seguinte forma: Faculdade de Minas 14 Figura 4 - Assinatura digital sem confidencialidade Fonte: KUROSE; ROSS, 2006 O processo pode se tornar ainda mais seguro se a função hash for utilizada. Isso porque além da garantia da autenticidade na origem, será possível checar se houve qualquer modificação no seu conteúdo durante o envio (KUROSE; ROSS, 2006, p. 532). Para tanto, Alice deve inicialmente aplicar a função de resumo criptográfico sobre o contrato, produzindo um hash. A partir de então, ela criptografa com sua chave privada somente este hash e o envia com o original para o destinatário. Na outra ponta, Bob começa usando a chave pública de Alice sobre o hash criptografado a fim de obter o hash em claro. Agora é a vez de Bob usar o contrato original e aplicar sobre ele a mesma função de resumo criptográfico com o fito de compará-lo com hash obtido na operação anterior. Se a comparação for positiva, a integridade não foi violada. Dessa maneira, encerra-se o processo de comunicação com Bob tendo a certeza de que o documento foi assinado mesmo por Alice e também que se trata de uma cópia exata do que ela tinha em mãos quando “assinou”. Faculdade de Minas 15 CERTIFICADO DIGITAL A criptografia de chave assimétrica enfrenta um desafio, conforme relata Forouzan (2006, p. 724): como distribuir de forma segura as chaves públicas que serão utilizadas tanto para a verificação da autenticidade da assinatura digital quanto para a confidencialidade de eventual comunicação? Afinal, alguém mal-intencionado poderia disponibilizar sua própria chave pública como se de outro fosse. A resposta está no sistema de certificação digital. O sistema de certificação digital presume a existência de uma entidade na qual as partes confiam na chamada Autoridade Certificadora (AC). Essa instituição tem a responsabilidade de emitir e guardar certificados digitais que vinculem a chave pública à sua verdadeira origem. Para isso, usa chave privada da própria AC. Funciona de modo semelhante à identidade tradicional, em que há um órgão emissor atestando o vínculo entre a pessoa e o documento impresso (FOROUZAN, 2006, p. 724). A título de exemplo, se Alice quer um certificado digital, deve enviar sua chave pública para a AC e comprovar com documentos sua identidade. Após estar certa de que realmente é Alice apresentando a chave pública, a AC usa sua própria chave privada para criptografar um certificado contendo a chave pública de Alice, gerando um hash. O próximo passo é disponibilizar ao mundo o par certificado-hash gerado para quem precisar se comunicar com Alice. Continuando o exemplo, caso Bob queira lhe enviar uma mensagem secreta, antes de confiar cegamente na chave pública de Alice, Bob realizará algumas operações. Inicialmente irá obter no repositório da AC o certificado de Alice por se tratar de um lugar em que todos confiam. Em seguida, utilizará a chave pública da AC para decriptação do hash que veio junto ao certificado. Se o resultado desta última operação for exatamente igual ao certificado contendo a chave pública de Alice, é possível crer que realmente está em posse da chave autêntica. Agora Bob estaria seguro para criptografar uma mensagem privada ou para checar uma assinatura digital de Alice. Faculdade de Minas 16 REQUISITOS DE SEGURANÇA DA INFORMAÇÃO COM CRIPTOGRAFIA Compreendidas as características principais da criptografia pertinentes ao presente trabalho, passa-se a explicação de como elas são implementadas de modo a garantir os requisitos de segurança da informação apontados no início deste capítulo. Confidencialidade No mundo digital, os interlocutores que pretendem não expor o conteúdo de suas mensagens que trafegam pela rede mundial de computadores utilizam-se frequentemente da criptografia a fim de obter confidencialidade. O que possibilita sua implementação é a sequência de operações lógico-matemáticas realizadas pelos algoritmos utilizando-se de chaves para tanto. É possível obter sigilo na comunicação pelouso da criptografia de chave simétrica ou de chave assimétrica. Segundo nos apresenta Forouzan (2006, p.963), o emprego da primeira – chave simétrica – enfrenta grave desafio no mundo atual onde há dificuldade para a combinação prévia da chave e exige-se frequentemente que esse compartilhamento se dê entre diversas pessoas. Por outro lado, goza da vantagem de ser bastante eficiente do ponto de vista computacional. Já o emprego de chave assimétrica facilita a conversa entre pessoas que não tiveram a oportunidade de estabelecer uma chave em comum e pode ser aplicada em ocasiões envolvendo um número grande de pessoas. Contudo, a sua desvantagem é o custo computacional elevado de operação. Por isso, Forouzan (2006, p. 963) afirma que a resposta ideal, levando em consideração as vantagens e desvantagens de cada uma das estratégias, é utilizar as chaves assimétricas apenas no contato inicial com o propósito específico de compartilhar uma chave de sessão do tipo simétrica a qual servirá durante toda a comunicação. A Faculdade de Minas 17 partir desse momento, as trocas ocorrem ainda em sigilo, mas com maior eficiência em razão do baixo custo computacional. Integridade Em algumas ocasiões o objetivo dos interlocutores pode não ser o sigilo, mas sim a certeza de que nada foi alterado na mensagem ao longo do seu percurso. À guisa de exemplo, a solicitação do cliente para seu banco de uma transferência bancária com determinado valor deve estar protegida pelo requisito da integridade. Consoante apresentado em tópico anterior, as funções de resumo criptográfico constituem ótima solução para apontar a existência de qualquer tipo de alteração, ainda que seja ínfima, em arquivos. Por conseguinte, no contexto da segurança das informações, as funções de resumo criptográfico são amplamente utilizadas para atribuir uma “identidade” aos documentos passíveis de serem analisadas e comparadas posteriormente (KUROSE; ROSS, 2006, p. 513). Autenticidade Um dos requisitos para a segurança da informação é a garantia de que a comunicação de fato acontece com a pessoa que se acredita estar na outra ponta. E as funcionalidades até aqui apresentadas de sigilo e integridade não garantem per se essa autenticidade. A tecnologia utilizada para atender a esse requisito é a assinatura digital e ela tem sido implementada com o emprego da criptografia assimétrica associada à função de resumo criptográfico (KUROSE; ROSS, 2006, p. 513). Os seus detalhes foram descritos no tópico anterior. Portanto, conclui-se que a criptografia garante autenticidade por meio da assinatura digital. Não-repúdio Faculdade de Minas 18 O último requisito a ser abordado sobre segurança da informação vai um passo além de garantir a autenticidade das pontas de uma comunicação. O ideal é que haja uma forma de impedir o sujeito mal-intencionado de repudiar a assinatura que apôs em documento digital de maneira legítima. Nessa hipótese, fosse possível alegar que outra pessoa se fez passar por si para criptografar o hash de documento, toda a confiança do sistema ruiria, inviabilizando efeito jurídico aos atos realizados por meio do espaço cibernético (FOROUZAN, 2006, p. 724). É com o emprego da estrutura por trás dos certificados digitais que o requisito de não-repúdio ganha vida. Uma organização que goza de credibilidade usa sua chave privada para assegurar ser verdadeiro o vínculo entre chave pública e o seu dono. Em caso de comprometimento da chave privada, seu dono deve informar imediatamente à AC para que o seu certificado seja revogado e as pessoas não o utilizem mais nas verificações de autenticidade. Logo, a criptografia garante o não-repúdio por meio da infraestrutura de certificados digitais. BIOMETRIA DA DIGITAL Segundo Boechat [Boechat 2008, p. 27] a impressão digital fornece uma universalidade média, ou seja, é bem disseminada entre os indivíduos, unicidade alta, ou seja, dificilmente existem duas iguais, permanência alta, ou seja, varia pouco no tempo, desempenho alto, ou seja, possuem algoritmos rápidos e eficiências para sua identificação, aceitação média, ou seja, a população a aceita, de modo geral e proteção média, ou seja, de certa dificuldade para cópia e fraudar um sistema que possua esse tipo de autenticação. Com esses dados, chega-se a conclusão que a impressão digital não é um mecanismo totalmente seguro, no entanto, como a necessidade de proteção variará de acordo com a região a ser acessada e, em conjunto com outros mecanismos, como Faculdade de Minas 19 tokens e senhas para tornar a identificação dos usuários mais segura e como o universo de usuários que acessam uma área controlada em um ambiente determinado é limitado, foi definido que a digital era suficientemente segura para ser utilizada em um Sistema de Controle de Acesso. As digitais possuem pequenos pontos chamados minúcias, que podem ser pontos de finalização de linha, pontos de junção de linha, quantidade de vales e sulcos, bifurcações, no entanto, essas características podem ser alteradas devido a fatores externos, como cortes, queimaduras ou por atrito, devido a atividades profissionais [Boechat 2008, p. 20]. Segundo Davide [DAVIDE 2009, p.99] Os setes tipos mais comuns de minúcias são: Faculdade de Minas 20 SISTEMA DE IDENTIFICAÇÃO BIOMÉTRICA ATRAVÉS DA IMPRESSÃO DIGITAL Um Sistema de Controle de Acesso pode fazer uso da Biometria da Digital para identificar os indivíduos e, para isso, precisará armazenar dados de identificação para a autenticação. O objetivo de um Sistema Biométrico é fornecer mecanismos para que seja possível, através das características do indivíduo, identificá-lo com um grau de certeza aceitável e, se utilizado de forma apropriada pode diminuir, consideravelmente, os problemas relacionados com a segurança. Um sistema biométrico consiste em um conjunto de hardware e software para o reconhecimento de padrões, que opera através da aquisição automática das informações biométricas, extraindo um modelo a partir dessas informações e esse modelo será armazenado e utilizado para as comparações, ou seja, em uma primeira fase, amostras da característica biométrica são recolhidas, transformadas em um modelo e armazenadas e, em uma segunda etapa, uma amostra da característica biométrica é recolhida e comparada com as previamente armazenadas para ser possível chegar Faculdade de Minas 21 na identidade do indivíduo. O processo de registro de perfil, também é conhecido como enrollment, e o processo de comparação, como matching. Os processos de validação por biometria possuem uma pontuação que define o grau de semelhança necessária entre o modelo armazenado e o modelo lido. Apesar de relativamente estáveis as características biométricas sofrem com a ação do tempo, da interação com o ambiente e com os equipamentos que fazem a coleta da amostra, então, mesmo para o mesmo indivíduo, não teremos amostras 100% iguais na maioria das vezes. [PINHEIRO, 2008, 43- 46]. Segundo Lourenço [LOURENÇO 2009, p. 16] Um sistema que faça uso da biometria terá duas etapas distintas para que funcione, ou seja, uma etapa onde as características biométricas do grupo utilizador do sistema serão coletadas, conhecida como fase de registro e outra etapa onde essas características serão utilizadas para a identificação do usuário, conhecida como fase de autenticação. DIREITO DIGITAL A ciência da computação, assim como muitas outras ciências, avançou muito, como já relatado na introdução, propiciando à sociedade um novo ambiente para as pessoas interagirem. Desse encontro entre a computação e o direito, do emprego dessas novas tecnologias, temos um resultado com várias consequências jurídicas. Surge um conjunto de aplicabilidades e relações jurídicas que precisam ser regradas a fim de dar o contorno evalidade jurídica necessária à elas. Nesse sentido, no entender de Marcelo C. Tavares Alves3, se faz necessário validar tais ações no mundo virtual, para que os crimes sejam impedidos, para que haja validade jurídica das informações, e a não ocorrência de “furtos” do conhecimento/manifestação – plágios – violação de direitos autorais. Vê-se que existe uma enorme gama de atividades que ocorrem no mundo virtual, seja divulgação de conhecimento, que merecem proteção autoral, ou também, dentre Faculdade de Minas 22 outras, de operações de compra e venda através da internet ou outro tipo de sistema de comunicação. Óbvio que os comerciantes antigamente negociavam presencialmente, e tinham a disposição a possibilidade de cartas e envio de documentos. Com o tempo e o avanço tecnológico, surgem outras modalidades de comunicação – telégrafo, telefone, fax, o que já era um enorme avanço nas negociações. Agora, com a internet, whatsapp, VOIP, Skype, Messenger, e outros meios, a comunicação passou a ser incrivelmente mais barata, rápida, praticamente instantânea –”online, realtime”, inclusive, com a possibilidade de vídeo-conferência, gravações, e envio de fotos, documentos, etc. A distância e o tempo acabaram, ou melhor, a duração do tempo para uma interação diminuiu à zero, ou seja, passou a ser instantânea. Diversos outros tipos de manifestações podem ocorrer no ambiente virtual, além do comércio eletrônico e da difusão do conhecimento, com a sua proteção ou sua violação de direitos autorais (como salientado por Marcelo Alves), e uma infinidade de outras relações jurídicas. Patricia Peck4 traz em sua obra a seguinte ideia: O Direito Digital consiste na evolução do próprio Direito, abrangendo todos os princípios fundamentais e institutos que estão vigentes e são aplicadas até hoje, assim como introduzindo novos institutos e elementos para o pensamento jurídico, em todas as suas áreas (Direito Civil, Direito Autoral, Direito Comercial, Direito Contratual, Direito Econômico, Direito Financeiro, Direito Tributário, Direito Penal, Direito Internacional, etc. Ao nosso ver, esse posicionamento reflete a ideia de que o direito digital nada mais seria do que o próprio direito, antigo, tradicional, sendo exercitado em novos ambientes. O que não deixa de ser verdade em larga escala de aplicação. Poderíamos resumir que não seria uma nova área de estudos, mas sim todas as demais áreas do direito, já existentes, que por motivos de possibilidades tecnológicas passam a se integrar com tecnologias modernas. Já Caio Cesar C. Lima5 em seu artigo publicado na página eletrônica de JUSBRASIL (abril/2015) não entra no discussão se a disciplina (direito digital ou direito eletrônico) seja autonôma, ou não. Mas, apresenta de forma precisa, a sua importância para o estudo dos reflexos jurídicos das inovações tecnológicas. Caio Lima nos apresenta Faculdade de Minas 23 ainda, a diferença existente entre Direito Digital (ou outro nome que se lhe atribua, uma vez que não há ainda uma consolidação ou unanimidade em como chama-lo) e a disciplina Informática Jurídica, “que se presta a estudar como a tecnologia auxilia os operadores do Direito de forma geral, englobando a utilização de ferramentas de edição de texto, configuração de banco de dados, informatização do processo judicial, entre outros.” De qualquer forma, vemos que a comunidade jurídica ainda está estudando e aprendendo o que seja este fenômeno – Direito Digital, tanto que nem o próprio nome que se dará ao tema é motivo de consenso, o que dirá chegarmos à conclusão acerca de sua eventual autonomia ou não, como ramo independente do Direito. O aparente consenso é de que o direito digital se preocupa com a aplicação dos diversos ramos do direito – comercial, civil, penal, trabalhista, tributário, etc, sobre as relações jurídicas produzidas ou verificadas em um ambiente cibernético. Mas será que o direito digital é somente isso mesmo? Voltaremos à estas questões no item seguinte. NOVO CAMPO DO DIREITO Entendemos, assim como a autora mencionada – Patricia Peck, Caio Lima e outros que seguem a mesma linha de pensamento, que realmente existe toda uma aplicação do direito em um novo ambiente – o ambiente digital. Óbvio que nesse novo ambiente, que nos foi proporcionado por uma tecnologia antes não existente, acontecem atos jurídicos, para o bem ou para o mal, e devem ser regulados pelo direito, pelo bom e velho direito, há muito por nós conhecido. Ao dizer para o bom e para o mal, queremos enfatizar que, como tudo na vida humana, existem duas facetas, a das boas ações e intenções e também a parte maléfica, dos ilícitos e das coisas ilegais. Assim é, que também no ambiente virtual o homem se manifesta em toda a sua plenitude, seja produzindo coisas boas, seja praticando más ações. Faculdade de Minas 24 Ambas devem merecer nossa atenção. No ambiente virtual celebram-se contratos de compra e venda de mercadorias, de prestação de serviços e uma infinidade de outras relações jurídicas que visam atender às necessidades do ser humano. Mas, também nesse mesmo ambiente, o homem consegue exteriorizar o seu lado negativo, cometendo ilícitos, difamando, ofendendo outras pessoas, praticando injúrias, e até mesmo outros tipos de crime, inclusive financeiros, com desfalques contra outras pessoas, através de movimentações indevidas de seus recursos. Entretanto, entendemos que a atuação humana nesse ambiente ultrapassou esses limites. Não se trata mais, apenas, de relações jurídicas em “outros” ambientes, mas, verdadeiramente, uma nova vida em outro ambiente, como demonstraremos a seguir, Uma coisa é nós reproduzirmos em um ambiente (novo) o que já praticamos em outro ambiente (conhecido). Outra bem diferente, é a existência de relações jurídicas que SOMENTE ocorrem neste novo ambiente virtual, cibernético. Vale dizer, tem determinadas relações jurídicas e coisas que só tem existência no ambiente virtual, não existem fora dele, mas produzem resultados exteriores, ou seja, em nosso mundo material. Então, salvo melhor juízo, entendemos que o Direito Digital já extrapolou sua função de ser mera aplicabilidade do direito em um determinado ambiente, para se transformar em um direito autônomo, ou ao menos, que está nascendo e começando a se desenvolver, autonomamente. LEIS LIGADAS AO DIREITO DIGITAL Faculdade de Minas 25 Uma vez mais citamos Caio Lima, que nos indica em seu artigo supra citado, quais as principais leis aplicadas, ou que tem ligação ao Direito Digital. São elas: a) “Lei Nº 12.737/2012 (conhecida como Lei Carolina Dieckmann) - Introduziu 03 tipos penais específicos envolvendo crimes informáticos: i) invasão de dispositivo informático alheio (artigo 154-A do Código Penal); ii) interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública (artigo 266, §§ 1º e 2º do Código Penal); e iii) falsificação de cartão de crédito ou débito (artigo 298 do Código Penal); b) Decreto Nº 7.962/2013 - Regulamentou o Código de Defesa do Consumidor, para dispor sobre a contratação no comércio eletrônico. Traz diversos esclarecimentos sobre atendimento ao consumidor em relação às compras realizadas pela internet, direito de arrependimento em comércio eletrônico, abordando até mesmo o tema das compras coletivas; c) Lei Nº 12.965/2014 (Marco Civil da Internet) - Estabeleceu princípios, garantias, direitos e deveres para o uso da internet no Brasil, tanto para provedores de conexão, provedores de aplicação e usuários da Internet. É um marco mundial, no que concerne ao tratamento da Internet sob a ótica do Direito Civil, sendo referenciado por alguns como a "Constituição da Internet", tendo em vista o caráter principiológico da norma. Tem sido objeto de várias discussões, especialmente noque concerne à futura regulamentação que o Poder Executivo fará à norma, tratando, entre outros, do tema da neutralidade de rede, o que ocorrerá, após as consultas públicas do Comitê Gestor da Internet e da Agência Nacional de Telecomunicações; e d) Anteprojeto de Lei para a Proteção de Dados Pessoais - Ainda na fase de Anteprojeto, fundamental estar atento ao texto da futura norma, que se encontra em discussão perante a sociedade civil e complementará as disposições constantes do Marco Civil da Internet sobre a questão de coleta, uso, armazenamento, tratamento, compartilhamento e exclusão de dados pessoais e dados pessoais sensíveis.” Faculdade de Minas 26 De se verificar, a priori, que a maioria dessas “leis”, são na verdade, diplomas legais já existentes – código penal, código de defesa do consumidor, ou outras, que foram adaptadas, receberam emendas, tiveram acrescentadas em seus respectivos textos, novas previsões de crimes, ilícitos, ou proteção ao indivíduo. Poder-se-ia dizer, que talvez apenas o Marco Civil da Internet (sancionado o Decreto 8.771/2016 – regula acerca dos pacotes de dados e tráfego de informações (artigos 3º a 10), guarda e proteção dos dados (11 a 16), dentre outras regulações, fiscalização e aplicação da lei) seja realmente uma nova lei específica e diretamente ligada à regulamentação do novo ambiente virtual – cibernético. MONITORAÇÃO ELETRONICA Conforme o discurso apresentado anteriormente, a evolução tecnológica vem sendo utilizada para aperfeiçoar e dinamizar as atividades diárias, reduzindo distâncias e tornando a informação (lato sensu) disponível quase que instantaneamente. A seguir, serão elencados, identificados, tipificados e caracterizados os delitos cometidos utilizando como meio de prática, a via eletrônica. Serão levantadas indagações em relação ao seu cabimento, analisando onde podem ser enquadrados os crimes praticados na Internet, no ordenamento jurídico atual, dentro do Código Penal, no Código Civil ou na legislação extravagante? Para fins de entendimento, estes crimes são divididos em três tipos: O crime de informática Puro, Crime de informática Misto e Crime de informática Comum. Cada um tem suas particularidades e formas de execução. Alguns doutrinadores, conforme explica Damásio de Jesus, consideram que os crimes praticados na Internet são simplesmente crimes comuns, não necessitando de novas definições. Outra corrente, aqui representada por Luis Carlos Olivo, entende que “tais crimes devem ser divididos em crimes puros (aqueles que atingem um Faculdade de Minas 27 sistema, praticados por hacker, através de vírus) e crimes relativos (entendendo-se a Internet como meio de execução da atividade delituosa)”. O crime eletrônico é, em princípio um crime de meio, isto é, utiliza-se de um meio virtual. Não é um crime de fim, por natureza, ou seja, o crime cuja modalidade só ocorra em ambiente virtual, à exceção dos crimes cometidos por hackers, que de algum modo podem ser enquadrados na categoria de extorsão, estelionato, fraude, entre outros. Isso quer dizer que o meio de materialização da conduta criminosa pode ser virtual, no entanto, o crime, em certos casos, não pode. Fortalecendo a corrente de pensamento referente ao meio de cometimento e à materialização dos crimes, o julgamento do Habeas Corpus nº76689/PB 22-9-1998 pelo Ministro Sepúlveda Pertence, do Supremo Tribunal Federal, elenca: [...] 2. Não se trata no caso, pois, de colmatar lacuna da lei incriminadora por analogia: uma vez que se compreenda na decisão típica da conduta criminada, o meio técnico empregado para realizá-la pode até ser de invenção posterior à edição da lei penal: a invenção da pólvora não reclamou redefinição do homicídio para tornar explícito que nela se compreendia a morte dada a outrem mediante arma de fogo. 3. Se a solução da controvérsia de fato sobre a autoria da inserção incriminada pende de informações técnicas de telemática que ainda pairam acima do conhecimento do homem comum, impõe-se a realização de prova pericial. Nas definições de Marco Aurélio Rodrigues da Costa, no que tange aos Crimes de Informática Puros: Crime de informática Puro: São aqueles em que o sujeito ativo visa especificamente ao sistema de informática, em todas as suas formas. Entendemos serem os elementos que compõem a informática o "software", o "hardware" (computador e periféricos), os dados e sistemas contidos no computador, os meios de armazenamento externo, tais como fitas, disquetes, etc. Portanto são aquelas condutas que visam exclusivamente a violar o sistema de informática do agente passivo. As ações físicas se materializam, por exemplo, por atos de vandalismos contra a integridade física do sistema, pelo acesso desautorizado ao computador, pelo acesso indevido aos dados e sistemas contidos no computador. Portanto, é crime de informática puro toda e qualquer conduta ilícita que tenha por objetivo exclusivo o sistema de computador, seja pelo atentado físico ou técnico do equipamento e seus componentes, inclusive dados e sistemas. Neste, a intenção é somente violar o sistema a fim de utilizar o “hardware” ou “software” em questão. Normalmente, este tipo de conduta destina-se a obter informações contidas em um local seguro ou tornar o sistema inoperante durante um Faculdade de Minas 28 período de tempo. Esse tipo de ação é cometida pelos hackers “White Hat”. Prossegue Marco Aurélio Costa: Crime de informática Misto: são todas aquelas ações em que o agente visa a um bem juridicamente protegido diverso da informática, porém, o sistema de informática é ferramenta imprescindível a sua consumação. Quando o agente objetiva, por exemplo, realizar operações de transferência ilícita de valores de outrem, em um determinada instituição financeira utilizando-se do computador para alcançar o resultado da vantagem ilegal, e, o computador é ferramenta essencial, defrontamo-nos com um crime de informática misto. É crime de informática misto porque incidiriam normas da lei penal comum e normas da lei penal de informática. Da lei penal comum, por exemplo, poder-se-ia aplicar o artigo 171 do Código Penal combinado com uma norma de mau uso de equipamento e meio de informática. Por isso não seria um delito comum apenas, incidiria a norma penal de informática, teríamos claramente o concurso de normas (art. 70, CP). Aqui a intenção do autor (Black Hat) é efetivamente prejudicar outrem, subtraindo bens (virtuais) ou valores. Comumente são grupos de Black Hats que formam quadrilhas de desvio de dinheiro de instituições financeiras. Estes usuários aproveitam as lacunas na lei para evitar sua captura valendo-se de facilidades que a Internet proporciona. A dificuldade de localização destes usuários, a morosidade para a obtenção dos dados com as prestadoras de serviços de Internet e a acessibilidade presente na realidade atual de acessar a Internet em qualquer local, como lan houses e cybercafés, tende a prejudicar a desarticulação de tais delituantes. Por fim, Marco A. Costa identifica o terceiro tipo de crime: Crime de informática Comum: são todas aquelas condutas em que o agente se utiliza do sistema de informática como mera ferramenta a perpetração de crime comum, tipificável na lei penal, ou seja, a via eleita do sistema de informática não é essencial à consumação do delito, que poderia ser praticado por meio de outra ferramenta. Como exemplo, os casos de estelionato (art. 171, CP), e as suas mais amplas formas de fraude. Quando o computador é ferramenta escolhida pelo agente ativo, que poderia escolher outros meios diversos da informática. Porém, é de se pensar na possibilidade de qualificadora para o delito de estelionato o uso do sistema de informática. Despiciendo aclarar a aplicabilidade aos crimes comuns das normas penais vigentes, porém, poder-se-ia, atendendo a essa classificação,incorporar ao Código Penal agravantes pelo uso de sistema de informática, vez que é meio que necessita de capacitação profissional e Faculdade de Minas 29 a ação delituosa por esta via reduz a capacidade da vítima em evitar o delito. Posto isto, entendemos ser a presente classificação apta a elaboração de legislação que possa alcançar os delitos de informática, sem contudo, correr-se o risco de sobreposição de normas, e, assim, também, entendemos que é meio hábil à formação de um eficaz Direito Penal de Informática. Ao fim desse elenco pode-se perceber que os crimes eletrônicos ou cibernéticos têm modalidades e características distintas, dependendo do bem jurídico a ser tutelado e assim devem ser encarados e estudados na hora de se legislar sobre eles. ANONIMATO NA REDE Para o direito digital, o IP42 constitui uma forma de identificação virtual. Ou seja, o anonimato na rede é relativo, assim como as identidades virtuais podem não ter um correspondente de identidade real, os vulgos fakes. Por analogia, seria o mesmo que ocorre quando as contas de empresas fantasmas, cuja identidade física pode ser falsa. Na grande rede, devido a sua dimensão de caráter globalizado, possibilita que a facilidade para criação de “laranjas” seja ainda maior. Sobre a, carência de segurança e a facilidade para anonimato na rede, Pinheiro sugere: Especificamente no Brasil, os crimes mais comuns na rede são o estelionato e a pedofilia. Os e- mails gratuitos são outro agente de expansão, pois seus dados não são necessariamente comprovados. Uma prática recomendável seria obrigar os provedores a identificar suas contas ativas e inativas, utilizando uma tecnologia de fotografia do usuário, ou seja, ter a comprovação de seus dados e, se possível, uma imagem digital. Isso, associado a uma prática de recadastramento dos usuários, no mesmo procedimento adotado pelos bancos, permite que realmente existam meios de prova confiáveis, rompendo-se a maior barreira à segurança da rede. Nesse sentido, devemos observar que, nos provedores de acesso pagos, é mais fácil identificar os usuários e restringir práticas delituosas, porque há emissão de fatura mensal ou débito em cartão de crédito, cujos bancos de dados são Faculdade de Minas 30 normalmente mais detalhados e seguros. No entanto, as contas gratuitas não possibilitam um controle constante. Cabe salientar que, com o advento da Internet móvel (tecnologia 3G) a individualização do usuário cresce, o que possibilita que o celular, o palm, o tablet ou outro gadget, se torne um prolongamento de sua existência no mundo digital, a partir do qual ele pode realizar desde negócios até o cometimento de delitos no meio eletrônico. O roubo e o furto de celulares tornam-se comuns, de forma que a identidade da pessoa proprietária do aparelho é assumida pelo praticante do roubo por determinado período de tempo. A falta de zelo gerada pela conduta displicente dos usuários é responsável pelo crescimento dos crimes virtuais. Um dos maiores problemas jurídicos dos crimes virtuais é a raridade de denúncias e, pior, o despreparo da polícia investigativa e dos responsáveis pela perícia para apurá-las. Embora com a instauração da Portaria DGP nº 1, de 4 de fevereiro de 2000, já seja possível fazer boletins de ocorrência pela Internet, são escassas as equipes de profissionais preparados para a investigação de pronto de um crime virtual. O estereótipo, que até pouco tempo tinha-se, do criminoso da Internet como sendo um sujeito extremamente inteligente e com conhecimento vasto na área técnica, já não corresponde com a realidade. Pois, atualmente, com os sistemas de busca e a troca rápida de informações, “quase” qualquer um pode encontrar na Internet o código-fonte aberto de um vírus ou trojan e utilizá-lo da forma que bem entender. Dado esse falso sentimento de anonimato e o animus nocendi50, alguns criminosos praticam até mesmo a clonagem integral de sites, o que, nesse caso, exige expertise tecnológica acima da média, utilizando-os para roubar informações de usuários. Informações estas utilizadas, posteriormente, para que o criminoso assuma outras identidades em operações comerciais com uso de cartão de crédito clonado. Faculdade de Minas 31 Patrícia Peck Pinheiro disserta acerca dos motivos mais comuns para a frustração da investigação quando o crime é praticado no ambiente virtual. Dois motivos norteiam o problema no combate aos crimes dessa natureza: a) a falta de conhecimento do usuário, que, dessa forma, não passa às autoridades informações relevantes e precisas; e b) a falta de recursos em geral das autoridades policiais. [...] O Direito Digital traz a obrigação de atualização tecnológica não só para advogados e juízes, como para delegados, procuradores, investigadores, peritos e todos demais participantes do processo. Isso posto, nota-se que a maioria das investigações sobre crimes virtuais exige quebra de sigilo. No que tange às provas, aquele que armazena os dados sobre as transações ocorridas eletronicamente ou os protocolos IP é a “testemunha” do crime. Essa mudança de postura é necessária para que tenhamos uma sociedade digital segura, caso contrário, coloca-se em risco o próprio ordenamento jurídico. O maior estímulo aos delitos virtuais é dado pela crença de que o meio digital é um ambiente marginal à realidade, um submundo em que a ilegalidade impera. Essa postura permeia à sociedade, que não sente que o meio onde são praticados os crimes é suficientemente vigiado e que eles são punidos. Mais à frente em seu texto, Pinheiro retoma a temática: O conjunto norma-sanção é tão necessário no mundo digital quanto no real. Se houver essa falta de crédito na capacidade punitiva da sociedade digital, os crimes aumentarão e os negócios virtuais serão desestimulados. Muitas pessoas que não cometem crimes no mundo real por medo de serem pegas, acabam, de algum modo, interessando-se pela prática delituosa virtual.[...] Esses crimes tem um traço cultural que se aproxima do vandalismo. Portanto, a adequada manipulação da Internet e de todas as tecnologias modernas, pela polícia e pelo Poder Judiciário, permitiriam tornar-se uma ferramenta poderosa para a descoberta de redes criminosas que atuam no mundo real e utilizam como meio de comunicação o mundo virtual. FRAUDE ELETRÔNICA Faculdade de Minas 32 No tangente à fraude eletrônica, percebe-se a prática crescente da modalidade de furto mediante fraude (art. 155 do Código Penal), onde há envio de um e-mail falso (pishing) para um usuário, e são capturados dados de sua conta bancária mediante instalação de um arquivo malicioso (trojan) em seu equipamento. É sabido que a fraude no Direito Penal é a ofensa de, deliberadamente, enganar os outros com o propósito de prejudicá-los, usualmente para obter vantagem, valendo-se de subterfúgios para então ludibriar a vítima, seja por meio da ação, seja por meio da omissão do agente. Ou seja, o fraudador pode tanto fornecer informações errôneas que induzam à vitima em erro como pode omitir informações a fim de obter propriedade ou vantagem indevida. Afirma Antônio de Loureiro Gil: As fraudes informatizadas correspondem a uma ação intencional e prejudicial a um ativo intangível causada por procedimentos e informações (software e bancos de dados), de propriedade de pessoa física, ou jurídica, com o objetivo de alcançar benefício, ou satisfação psicológica, financeira e material. Em posse desse conceito vale destacar que, para combater o crime eletrônico, foi realizada a convenção de Budapeste, sobre criminalidade no mundo virtual do Conselho da Europa, documento de Direito Internacional Público, elaborado por um comitê de peritos, que, em tese, vem a ser adotado por todos os países de forma a coibir a crescente evolução da cibercriminalidade. O senador Eduardo Azeredo,declarou que: “Não há como fazer uma Lei e agradar a todos. O projeto que está sendo aprovado, passará por transformações, porque a Tecnologia evolui muito rapidamente. O país não pode ficar mais sem uma legislação específica. Não foi possível atender a todos os setores e unanimidade num PL é situação praticamente inexistente. [...]Quem ainda não sofreu um problema na Internet, quem nunca teve um cartão clonado ou um celular clonado, apesar que, hoje, no caso da telefonia celular, a evolução da tecnologia já reduziu bastante este perigo, mas isso é um fato. O PL tipifica 13 crimes e outros vão aparecer. Esta é uma Lei que vai evoluir sempre.” Faculdade de Minas 33 Indagado sobre a Convenção de Budapeste, que vem sendo endossada por vários países do mundo como base de ação mundial de combate ao crime cibernético, concluiu: “São ações absolutamente distintas. Elas não estão interligadas. A adesão do Brasil à convenção de Budapeste é uma decisão do Poder Executivo. Espero que ela aconteça também até o fina do ano, afinal, essa é uma legislação importante do ponto de vista mundial na área da Internet, mesmo que o Brasil faça as suas ressalvas, mas o país não pode continuar fora dela.” Assim sendo, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança do Brasil (CERT-BR) se pronunciou da seguinte forma: A fraude eletrônica consiste em uma mensagem não solicitada que se passa por comunicação de uma instituição conhecida como banco, empresa ou site popular e que busca induzir usuários ao fornecimento de dados pessoais e financeiros. Inicialmente, esse tipo de mensagem induzia o usuário ao acesso a páginas fraudulentas na Internet. Hoje, o termo se estende a mensagem que induz o usuário à instalação de códigos maliciosos, além da mensagem que, no próprio conteúdo, apresenta formulários para o preenchimento e envio de dados pessoais e financeiros. Assim, valendo-se da pronúncia do CERT-BR, podem ser elencadas as formas mais comuns de fraudes virtuais: o Pishing Mail, o Spear Pishing, o iPishing, o Vishing Scam, por Mensageiros Instantâneos e por meio de Sites de Relacionamento. PISHING MAIL Exemplificando a fraude por “Pishing Mail”: Em um primeiro momento, o código malicioso é enviado por e-mail para as vítimas (normalmente enviado às centenas), as quais não analisam a veracidade do conteúdo (por inexperiência ou por negligência) e executam o arquivo com o código malicioso. O computador da vítima é infectado, comprometendo as informações pessoais e confidenciais. Essas informações são transmitidas para o fraudador que, em posse destas, por exemplo, Faculdade de Minas 34 pode acessar o Internet Banking da vítima e desviar dinheiro para outra conta, ou efetuar compras como se a vítima fosse. SPEAR PISHING O Spear Pishing, por sua vez, assemelha-se a uma pesca com arpão, onde o alvo a ser atingido é altamente focalizado. Este ataque exige uma etapa minuciosa de pesquisa por parte dos atacantes. O processo é lento e exige muita paciência, por vezes restando infrutífero o ataque. Geralmente os ataques são focados em empresas, ou setores destas, e funciona dada a incapacidade humana de avaliar corretamente a sensibilidade de uma informação. Quando enviada para poucas pessoas, os efeitos de uma mensagem desse tipo são frágeis, mas quando mandada em massa para um grupo específico, pode o atacante conseguir informações suficientes para assimilar a identidade de alguém mais influente na empresa. IPISHING No iPishing, visa-se explorar a vulnerabilidade dos sistemas em detrimento do avanço acelerado da tecnologia, que deixa os aspectos de segurança em segundo plano para poder acompanhar a concorrência. O ataque costuma ocorrer na forma de envenenamento do DNS, onde a rota do endereço do site é alterada, fazendo o usuário ser redirecionado para sites diferentes daqueles que ele desejava alcançar. Esses sites normalmente possuem conteúdo semelhante ao intencionado e as mudanças podem ser imperceptíveis, como a alteração de uma letra no endereço base. O problema torna-se ainda mais grave com a utilização de gadgets de telas pequenas, onde, por limitação de espaço na tela, os usuários podem não conseguir visualizar a URL por completo, tornando-se assim muito mais vulneráveis. VISHING SCAM Já no Vishing Scam, utilizam a tecnologia de Voz sobre IP, tecnologia desenvolvida para possibilitar a comunicação através da Internet, utilizando o IP como Faculdade de Minas 35 número de telefone. Assim sendo, uma vez que apresenta as diversas vantagens dessa tecnologia sobre a telefonia convencional, como o fato de ser uma tecnologia de custo próximo a zero, e, acrescentando-se ainda a possibilidade de embaralhar ou mascarar o número de telefone que será identificado pelo receptor a VoIP é de grande utilidade para indivíduos maliciosos, vez que, em posse desta passaram a proliferar- se em forma de tele-marketing, SMS’spam69 e golpes de estelionato mediante simulação de sequestro. O modus operandi assemelha-se ao Pishing Mail, em que um estelionatário envia mensagens de texto, passando-se por uma instituição de confiança. Estas mensagens exigem a “confirmação” de dados como cartão de crédito ou senhas, ou até mesmo que a pessoa retorne a ligação para determinado número e fale com um atendente – também partícipe do golpe -. As justificativas dadas para se efetuar a ligação variam, mas, segundo levantamento do Sindicato dos Policias Federais do Ceará (SINPOF-CE)70, as principais são a promessa de algum prêmio em troca de determinado valor em recargas para celular, a ameaça mediante suposto seqüestro de um familiar e a clonagem da linha telefônica. O DIREITO E A REPERCUSSÃO CÍVEL DOS DELITOS COMETIDOS NA INTERNET Uma vez definido o conceito de crime virtual e delimitada a noção de cada um de seus tipos, bem como analisada a forma de precaução e os meios de cometimento mais comuns, no último capítulo deste trabalho serão esmiuçadas suas características do ponto de vista da responsabilidade civil. Serão abordadas as repercussões cíveis no Direito comparado à Informática e as violações de direitos autorais, quando o meio cometido é virtual, porquanto já afirmados a existência e o nexo causal de tais violações em tal meio nos capítulos anteriores. Por fim, será traçado um panorama acerca do futuro profissional do Direito. Faculdade de Minas 36 RESPONSABILIDADE CIVIL Em primeiro lugar, cabe explanar que a responsabilidade civil é um fenômeno social. Para o Direito, um dos principais pressupostos da responsabilidade civil é a existência de nexo causal entre o ato e o dano por ele produzido. Muito mais importante que o ato ilícito que causou o dano é o fato de que esse dano deve ser ressarcido. Nas palavras de Lyra: Quem pratica um ato, ou incorre numa omissão de que resulte dano, deve suportar as consequências do seu procedimento. Trata-se de uma regra elementar de equilíbrio social, na qual se resume, em verdade, o problema da responsabilidade. Vê-se, portanto, que a responsabilidade é um fenômeno social. Destarte conclui-se que o ato ilícito não é o único fato gerador da responsabilidade civil. O verdadeiro elemento constitutivo é a ação causadora do dano, e ao ordenamento jurídico cível nacional interessa o ressarcimento desse dano. O direito digital, por seu dinamismo originário, traz sugestões de modificações de conceitos tradicionais da responsabilidade civil. Em nosso ordenamento jurídico atual, o conceito de responsabilidade civil adota duas teorias distintas: a teoria da culpa e a teoria do risco. A teoria da culpa trata da responsabilidade extracontratual ou aquiliana fundamentada na culpa, a qual reza que para que exista a obrigação de reparar o dano, deve-se poder imputar a alguém arcar com o pagamento da indenização, ainda que levíssima.Tem seus fundamentos na Lex Aquilia; in lege Aquilia et levíssima culpa venit, ou seja, a de que a culpa, ainda que levíssima, obriga a indenizar. Por sua vez, Álvaro Villaça Azevedo, em sua obra Teoria geral das obrigações, subdivide a responsabilidade extracontratual objetiva (na qual àquele que fica obrigado a indenizar não pode ser imputada culpa pelo dano), em dois tipos: a Faculdade de Minas 37 responsabilidade extracontratual objetiva pura e impura. A primeira só poderia ser estipulada por lei, nunca por interpretação judicial, e obrigaria o responsável, segundo a lei, a indenizar meramente pela ocorrência do fato, sem cogitar a culpa do agente. A segunda poderia ser objeto de interpretação jurisprudencial e refere-se à responsabilização por atos culposos de terceiro que está vinculado à atividade do indenizador. Dessa maneira, não se discutirá, também, a culpa de quem deve indenizar, porém, contará este com um direito de regresso para demandar do terceiro que agiu culposamente a composição dos danos que sofreu. A responsabilidade civil representa o ramo do Direito que acompanha a evolução social do homem e constitui a prova patente de que o Direito não pode permanecer letárgico. Na responsabilidade civil, este fenômeno é de fácil constatação. Após este breve relato das tipificações da responsabilidade civil, torna-se necessária uma analise mais aprofundada do tratamento dado à responsabilidade civil pelo Direito comparado, traçando paralelos e propiciando uma adaptação e aplicação no mundo da informática. RESPONSABILIDADE CIVIL NO DIREITO COMPARADO À INFORMÁTICA Para o direito digital, a teoria do risco, previamente analisada, tem maior grau de aplicabilidade, posto que nascida na era da industrialização. Ela veio para resolver os problemas de reparação do dano onde a culpa não é um elemento indispensável, em virtude do princípio da genérica equidade e do equilíbrio de interesses. Faculdade de Minas 38 Quanto a este aspecto, Patricia Peck Pinheiro dispõe: Considerando apenas a Internet, que é mídia e veículo de comunicação, seu potencial de danos indiretos é muito maior que de danos diretos, e a possibilidade de causar prejuízos a outrem, mesmo que sem culpa, é real. Por isso, a teoria do risco atende às questões virtuais e a soluciona de modo mais adequado, devendo estar muito bem associada à determinação legal de quem é o ônus da prova em casa caso. No Direito Digital, a responsabilidade civil tem relação direta com grau de conhecimento requerido de cada prestador de serviço e do consumidor-usuário também. Nenhuma das partes pode alegar sua própria torpeza para se eximir de culpa concorrente A partir da colocação supra, pode-se inferir que um dos pontos mais importantes é o da responsabilidade pelo conteúdo produzido. Considerando que é o conteúdo que atrai as pessoas para o mundo virtual e que ele deve estar submetido aos valores morais da sociedade e atender aos critérios de veracidade, é importante determinar os limites de responsabilidade dos Internet Service Providers (ISP’s), dos produtores de conteúdo, dos usuários de e-mails, e de quaisquer outros que de qualquer modo contribuam ou participem de sua produção ou publicação. Diversos autores sugerem, acerca do tema em tela, que para solucionar essa questão deveria ser determinada uma norma-padrão pela qual, em princípio, os responsáveis pelo conteúdo publicado em um website são seus proprietários ou quem eles indicassem a responsáveis editoriais. Analogicamente, vale-se das mesmas normas utilizadas pelo conteúdo publicado por jornais ou revistas. Ante o exposto, dada a falta de legislação específica acerca do tema, por vezes os Tribunais nacionais pátrios posicionam-se de forma contraditória. Ou seja, ainda se discute uma definição mais cristalina dos limites da responsabilidade civil ou criminal dos provedores de acesso por conteúdo adicionado por terceiros. Para ilustrar o caso, seria humanamente e tecnologicamente impossível que a empresa Google monitorasse cada vídeo que fosse upado no site de vídeos Youtube, tanto no sentido de avaliar conteúdo, classificação etária ou direitos autorais. Contudo, ao ser comunicada, seja por autoridade, seja por usuário, que determinado conteúdo possui eventuais ofensas ou ilicitudes, deve tal empresa agir de forma enérgica no sentido de retirar do ar e notificar o usuário (virtualmente), sob pena de, aí sim, responder de forma solidária, juntamente com o autor, diante da omissão praticada. Faculdade de Minas 39 REFERENCIAS ABRUSIO, Juliana Canha; BLUM, Renato Ópice. Crimes eletrônicos. Disponível em: <http://buscalegis.ufsc.br/arquivos/crimes_eletronicos.htm>. Acesso em: 26 abr. 2010. AGUIAR JÚNIOR, Ruy Rosado. Extinção dos contratos por incumprimento do devedor: resolução. Rio de Janeiro: Aide, 2003. 326p. ALMEIDA FILHO, José Carlos de Araújo; CASTRO, Aldemario Araujo. Manual de Informática Jurídica e Direito da Informática. Rio de Janeiro: Forense, 2005. 371p. ATHENIENSE, Alexandre. Direitos Autorais na Internet. Blog DNT – O Direito e as Novas Tecnologias. Disponível em: <http://www.dnt.adv.br/noticias/direitos- autorais-na-Internet/>. Acesso em: 24 de set. 2020. 35 ATHENIENSE, Alexandre. Internet e o Direito. Belo Horizonte: Inédita, 2000. 285p. BIJKER, W. E., Sociohistorical technology studies, Handbook of Science and technology Studies. London: SAGE, 1995. 254p. BLUM, Renato M. S. Opice. Manual de Direito Eletrônico e Internet. São Paulo: Aduaneiras, 2006. 680p. BOECHAT, G. (Fevereiro 2008). Dissertação de Mestrado - Proposta de um modelo de arquitetura biométrica para identificação pessoal com estudo da dinâmica da digitação, Universidade Federal de Pernambuco. Recife, Brasil. BRASIL. Decreto Lei nº 4.657, de 4 de setembro de 1942. Lei de Introdução ao Código Civil Brasileiro. Diário Oficial da União, Brasília, DF, 18 set. 1942. Disponível em: < http://www.planalto.gov.br/ccivil/Decreto-Lei/Del4657.htm>. Acesso em: 20 set. 2020. ______. Lei nº 5.250, de 9 de fevereiro de 1967. Regula a liberdade de manifestação do pensamento e de informação. Diário Oficial da União, Brasília, DF, 10 mar. 1967. Disponível em: <http://www.planalto.gov.br/ccivil/leis/L5250.htm>. Acesso em 21 set. 2020. ______. Lei nº 7.209, de 11 de julho de 1984. Institui o Código Penal. Diário Oficial da União, Brasília, DF, 31 dez. 1940. Disponível em: Faculdade de Minas 40 <https://www.planalto.gov.br/ccivil_03/LEIS/1980-1988/L7209.htm#art1>. Acesso em: 20 set. 2020. ______. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Diário Oficial da União, Brasília, DF, 11 set. 1990. Disponível em: <http://www.planalto.gov.br/ccivil_03/LEIS/L8078.htm>. Acesso em 20 set. 2020. ______. Lei nº 9.610, de 19 de fevereiro de 1998. Altera, atualiza e consolida a legislação sobre direitos autorais e dá outras providências. Diário Oficial da União, Brasília, DF, 1998. Disponível em: < http://www.planalto.gov.br/ccivil_03/Leis/L9610.htm>. Acesso em 22 set. 2020. ______. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Diário Oficial da União, Brasília, DF, 11 jan. 2002. Disponível em: <http://www.planalto.gov.br/ccivil_03/LEIS/2002/L10406.htm>. Acesso em: 20 set. 2020. BUDAPESTE, 23 nov. 2001. Convention on Cybercrime. Disponível em <http://conventions.coe.int/Treaty/EN/Treaties/html/185.htm> Acesso em 16 set. 2020. BUSNELLO, Felipe Octaviano Delgado. Software Livre e os Direitos do Autor. Monografia apresentada como requisito obrigatório da Faculdade de Direito da Pontifícia Universidade Católica do Estado do Rio Grande do Sul – PUCRS como requisito parcial para a obtenção do grau de bacharel. 55p. CERT.BR, Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Cartilhade Segurança. Disponível em: <http://cartilha.cert.br/glossario>. Acesso em 16 set. 2020. COSTA, Marco Aurélio. Crimes de Informática. Disponível em <http://jus2.uol.com.br/doutrina/texto.asp?id=1826&p=2>. Acesso em 13 set. 2020. 36 CHAHIN, Ali et al. E-gov.br: a próxima revolução brasileira: eficiência, qualidade e democracia: o governo eletrônico no Brasil e no mundo. São Paulo: Prentice Hall, 2004. DAVIDE, Davide, et al. (2009). Handbook of Fingerprint Recognition. Second Edition. Editora Springer. ISBN 978-1-84882-253-5 DURANSKE, Benjamin T. Virtual Law – Navigatin the Legal Landscape of Virtual Worlds. New York: ABA BOOKS, 2008, 461p. Faculdade de Minas 41 FENAPEF, Federação Nacional dos Policias Federais. Os 7 principais golpes via telefone. Disponível em <http://sinpof- ce.com.br/modules.php?name=News&file=article&sid=1028>. Acesso em 21 set. 2020. FONSECA JÚNIOR, José de Ribamar Lima da. As relações virtuais no Código Civil. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=13791>. Acesso em: 26 abr. 2020. GARCIA, Flávio Cardinelle Oliveira. Ciberespaço: formas de regulamentação. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=11747>. Acesso em: 26 abr. 2020. GIL, Antônio Loureiro. Fraudes informatizadas. 2ª Edição. São Paulo: Atlas, 1999, 206p. GOMES JÚNIOR, Luiz Manoel. O controle das mensagens veiculadas através da Internet. São Paulo: RT, 1997, 117p. GONÇALVES, Carlos Roberto. Responsabilidade Civil. 12ª Edição. São Paulo: Saraiva, 2010. 1029p. GOUVÊA, Sandra. O direito na era digital: Crimes praticados por meio da informática. (Série Jurídica). Rio de Janeiro: Mauad, 1997. 143p. HUNTINGTON, Samuel P. The Clash of Civilizations and the Remaking of World Order (The Free Press ed.). London: Simon & Schuster, 1997, 367p. JESUS, Damásio. Crimes na Internet. Disponível em <http://www.cepad.com.br>. Acesso em 12 de set de 2020. LAGO JÚNIOR, Antônio. Responsabilidade civil por atos ilícitos na Internet. São Paulo: LTR, 2001. 127p. KEIKO, Mori Michele. Direito a Intimidade Versus Informática. Curitiba: Juruá, 2001, 122p. LAIGNIER, Pablo. Introdução à História da Comunicação. Rio de Janeiro: E- papers, 2009. 134p. LEITE, Flamarion Tavares. Entrevistas - Cibernética, Direito, ciberespaço. Ciberdireito? Disponível em <http://www.datavenia.net/entrevistas/00001092001.htm>. Acesso em: 09 set. 2020. LÉVY, Pierre. O que é o Virtual?. São Paulo: Editora 34, 2007, 160p. Faculdade de Minas 42 LIMBERGER, Temis. O Direito À Intimidade na Era da Informática. Rio de Janeiro: Temis, 2007, 250p. 37 LÈVY, Pierre. O que é o virtual? – tradução de Paulo Neves, Ed. 34, SP, 1996. LOURENÇO, Gonçalo Filipe da Fonseca (Novembro 2009). Dissertação de Mestrado - Reforço da Segurança das Biométricas utilizando Codificação de Fonte Distribuída. Instituto Superior Técnico da Universidade de Lisboa. Lisboa, Portugal. LUCCA, Newton De; SIMÃO FILHO, Adalberto [coordenadores] e outros. Direito &Internet – aspectos jurídicos relevantes. São Paulo, Quartier Latin, 2ªed., 2005. LIMA, Caio Cesar C. Você conhece as principais leis do Direito Digital e Eletrônico. Disponível em: https://caiocesarlima.jusbrasil.com.br/artigos/182558205/voce-conhece-as- principais-leis-do-direito-digital-e-eletronico. Acesso em: 29/10/2020. LOBO, Ana Paula. Crimes na Web: Adesão à Convenção de Budapeste é decisão do Governo Lula. Disponível em <http://bit.ly/aaxitm>. Acesso em 16 set. 2020. LOCKE, John. Segundo Tratado Sobre o Governo. São Paulo: Martin Claret, 2005, 176p. LYRA, Afrânio. Responsabilidade Civil. Salvador: Jurid Vellenich, 1979, 283p. MONTEIRO, Vilbégina. Cibernética, Direito, ciberespaço. Ciberdireito? Disponível em <http://www.datavenia.net/entrevistas/00001092001.htm>. Acesso em 12 set. 2020. MONTORO, Franco. Estudos de Filosofia do Direito. São Paulo: Revista dos Tribunais, 1981. PECK, Patrícia. Direito Digital. São Paulo: Saraiva, 2007. PINHEIRO, José Maurício. Biometria nos Sistemas Computacionais. 1ª Edição. Ciência Moderna, 2008. ISBN: 978-85-7393-738-1 OLIVO, Luis Carlos Cancellier, Direito e Internet: a regulamentação do Ciberespaço. 2ª Ed. Florianópolis: Editora da UFSC, CIASC, 1998. 228p. PINHEIRO, Patrícia Peck. Direito Digital. 3ª São Paulo: Editora Saraiva, 2009. 411 p. Faculdade de Minas 43 QUEIRÓZ, Regis Magalhães Soares de. Assinatura Digital e o tabelião virtual. In: LUCCA, Newton de; SIMÃO FILHO, Adalberto (Coord.) et al. Direito e Internet – aspectos jurídicos relevantes. São Paulo: EDIPRO, 2000. REALE, Miguel. Teoria Tridimensional do Direito. 5.ªed. São Paulo: Saraiva, 1994, 161p. REALE, Miguel. Fundamentos do Direito, 3ª Ed., São Paulo, Editora Revista dos Tribunais, 1998. 363p. REINALDO FILHO, Demócrito. Direito da Informática: Temas Polêmicos. São Paulo: Edipro, 2002. 432p. ROHRMANN, Carlos Alberto. Curso de direito virtual. Belo Horizonte: Del Rey, 2005. 290 p. SLEIMAN, Cristina Moraes; PINHEIRO, Patricia Peck. Tudo o que Você Precisa Saber Sobre - Direito Digital no Dia a Dia. São Paulo: Saraiva, 2009. 59p. VIANNA, Túlio Lima. Roteiro didático de elaboração de projetos de pesquisa em Direito. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=3983>. Acesso em: 26 abr. 2020. SILVA, Luis Gustavo Cordeiro, et al. Certificação Digital - Conceitos e Aplicações. Editora Ciência Moderna, 2008. ISBN: 978-85-7393-655-1. SOUZA, Marcelo Barboza. Controle de Acesso: Conceitos, Tecnologias e Benefícios. 2010. Editora Sicurezza.
Compartilhar