Baixe o app para aproveitar ainda mais
Prévia do material em texto
RICARDO REIS GOMES CRIMES PUROS DE INFORMÁTICA Monografia apresentada como requisito para conclusão do curso de bacharelado em Direito do Centro Universitário de Brasília. Orientadora: Eneida Orbage de Brito Taquari BRASÍLIA 2001 “Há leis em demasia e ultrapassadas para antigas demandas; e escassas, ou inexistentes, para demandas novas, como os chamados crimes informáticos”. Celso Mello, Ministro do STF O presente trabalho é dedicado a Deus. Agradeço ao meu pai, minha mãe, minha irmã, tia Mônica, Gabriela, Lucas e ao meu amor, Raquel, por todo amor e carinho e dedicação que foram fundamentais para a conclusão desta obra. Resumo Os crimes de informática estão se tornando uma constante em nossa sociedade, sendo praticados a todos os instantes. A população, perplexa, espera a criação de leis para que se possa coibir o aumento assustador deste delito que é perpetrado a distancia, sem contato e sem violência mas que causa prejuízos inestimáveis. O legislador pátrio já aceitou o desafio e vem discutindo o assunto e apresentando projetos de lei os quais esperam a aprovação nas casas legislativas. Baseado em pesquisas brasileiras o presente trabalho detectou os principais causadores de problemas com segurança da informação no país e traçou um paralelo com o projeto de lei 84/99 que tem como escopo a tipificação dos crimes de informática para verificar se o referido projeto abarca as reais necessidades da sociedade da informação que elegeu novos bens jurídicos que merecem a proteção do Direito Penal. Sumário 1.0 - Introdução..................................................................................................................1 2.0 - Desenvolvimento 2.1 - Importância do tema.....................................................................................3. 2.2 - Necessidade de novas normas......................................................................4. 2.3 - Definição de crime puro de Informática.......................................................5. 2.4 - Distinção entre e crime comum e crime puro de informática......................8. 2.5 - Concurso entre crime puro e crime comum...............................................10. 2.6 - Quem é o criminoso de informática?..........................................................10. 2.7 – O que move os hackers?.............................................................................14 2.8 - Situação atual relativa aos crimes informáticos.........................................16. 2.8.1 - Qual o país sofreu o maior número de ataques?..........................16. 2.8.2 - Quantificação dos prejuízos sofridos devido a um ataque 2.8.2.a. Quantificação nos EUA..................................................15. 2.8.2.b. Quantificação no Brasil..................................................17. 2.8.3 - Quais as principais ameaças?.......................................................17. 2.8.4 - Investimentos em sistemas de segurança.....................................19. 2.8.5 - Providências tomadas após um ataque........................................21. 2.9 - Situação atual relativa à legislação vigente................................................21. 2.9.1 - Legislação aplicável aos crimes de informática no Brasil...........21. 2.9.2 - Projetos de lei em andamento no legislativo Brasileiro...............22. 2.9.3 - Política de segurança federal......................................................23. 2.10 - Análise do projeto de lei 84/99.................................................................25. 2.10.1 - Direito Comparado....................................................................25. 2.10.2 - Crimes puros previstos no Projeto de Lei 84/99 2.10.2.a - Artigo 8º......................................................................26. 2.10.3.b - Artigo 9º......................................................................27. 2.10.4.c - Artigo 9º, § 1º..............................................................28. 2.10.5.d - Artigo 10º ...................................................................28. 2.10.6.e - Artigo 11º....................................................................28. 2.10.7.f - Artigo 12º....................................................................29. 2.10.8.g - Artigo 13º....................................................................30. 2.10.9.h - Artigo 15º....................................................................31. 2.10.9.i - Críticas finais ao projeto 84/99....................................32. 3.0 - Conclusão...............................................................................................................33. 4.0 - Anexos....................................................................................................................35. 5.0 - Bibliografia.............................................................................................................44. Tabela dos gráficos Gráfico 00........................................................................................................................15 Gráfico 01........................................................................................................................16 Gráfico 02........................................................................................................................17 Gráfico 03........................................................................................................................19 Gráfico 04........................................................................................................................21 1 - Introdução. O mundo vem assistindo uma verdadeira revolução devido à popularização dos micro- computadores e da Internet. Atualmente, os usuários brasileiros da rede mundial de computadores chegam a casa dos 10,4 milhões1. A Internet é a forma de comunicação que ganhou o maior número de usuários em menor tempo na história da humanidade. O telefone, que foi uma verdadeira revolução em sua época, levou 70 anos para conquistar 50 milhões de usuários. Já a grande rede conseguiu este número em apenas 5 anos2. Apesar do crescimento vertiginoso da Internet em todo mundo, pouco se conhece sobre os seus aspectos jurídicos sendo parcas as leis aplicáveis tornando a grande rede o local ideal para o cometimento de um crime. A sociedade mundial clama pela intervenção do Direito para que se possa estabelecer regras para a utilização saudável da Internet com proteção aos novos bens jurídicos como a privacidade, a segurança do usuário, a confidencialidade, a integridade e a disponibilidade das informações. 1 Fonte: IDG Now - 22 de maio de 2001. Se os operadores do direito e legisladores continuarem procrastinando na busca de uma proteção legal eficiente para os novos bens jurídicos eleitos pela sociedade moderna, manchetes de jornais, como estas, continuarão a ser uma constante em nossas vidas. “Senado americano alerta: Ataques virtuais podem devastar EUA”.3 “Chineses estão sendo instigados a hackear Estados Unidos”.4 “FBI confirma ataques chineses a sites dos EUA”.5 “Crackers roubam um milhão de números de cartões de crédito”.6 “Prejuízo causado por invasões cresceu 42% em 2000”.7 “Crackers roubam um milhão de números de cartões de crédito”.8 “Comerciante tenta destruir sistema de concorrente com vírus”.9 2 Fonte: Associação - Americana de Mídia. 3 Fonte: Computerworld – 14 de maio de 2000. 4 Fonte: Security Focus – 17 de abril de 2001. 5 Fonte: Yahoo News – 19 de abril de 2001. 6 Fonte: Bank TechnologyNews – 11 de abril de 2001. 7 Fonte: CNN – 12 Março, 2001 8 Fonte: Bank Technology News – 11 de abril, 2001 9 Fonte: Terra Informática – 17 de abril, 2001 2 – Desenvolvimento. 2.1 – Importância do tema. Atualmente, o investimento em segurança das informações não é mais uma opção e sim uma exigência da coletividade pois o vazamento de dados críticos pode causar prejuízos de grande monta para toda a sociedade. Até pouco tempo atrás o investimento em segurança das informações era uma opção da empresa, pois não havia nenhuma exigência legal. Passado algum tempo, o investimento passou a ser necessário pois proporcionava maior confiança dos consumidores nas empresas e agregava valor aos produtos. Hoje, o investimento no setor de segurança das informações passou a ser uma exigência legal porque a própria lei, em diversos diplomas, passou a exigir a conservação de arquivos em formato digital. Como por exemplo: O art. 11 da Lei nº 8.218, de 29 de agosto de 1991 determina que as pessoas jurídicas que possuírem patrimônio líquido superior a Cr$ 250.000.000,00 e utilizam sistema de processamento eletrônico de dados para registrar negócios e atividades econômicas, escriturar livros ou elaborar documentos de natureza contábil ou fiscal ficarão obrigadas a manter, em meio magnético ou assemelhado, à disposição do Departamento da Receita Federal, os respectivos arquivos e sistemas durante o prazo de cinco anos. A inobservância poderá acarretar multa de meio por cento do valor da receita bruta da pessoa jurídica no período ou multa de cinco por cento sobre o valor da operação correspondente, aos que omitirem ou prestarem incorretamente as informações solicitadas. O Poder Judiciário também se vê obrigado a fazer investimentos em sistemas de segurança das informações, pois segundo a Lei nº 10.259 de 12 de julho de 2001 (que dispõe sobre a criação dos Juizados Especiais Federais), no seu art. 7o, § 2o, prescreve que os tribunais poderão organizar serviço de intimação das partes e de recepção de petições por meio eletrônico. E ainda a Lei nº 9.999/95 (que dispõe sobre a criação dos Juizados Especiais em âmbito Estadual) no seu art. 13, § 3º, determina que os atos processuais não essenciais poderão ser gravados em fita magnética, podendo ser desgravados para serem utilizados no recurso inominado do art. 41 do referido diploma. As empresas que trabalham com venda ao consumidor final também estão obrigadas a aumentar seus investimentos em segurança da informação pois segundo o Código de Defesa do Consumidor (Lei nº 8.078/90) art. 39, inciso VIII, é vedado ao fornecedor de produtos ou serviços colocar no mercado de consumo qualquer produto ou serviço em desacordo com as normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem, pela Associação Brasileira de Normas Técnicas (ABNT). Atualmente já está em fase final a norma brasileira sobre segurança da informação que está sendo editada pela ABNT e chamar- se-á BS 7799 que é uma adaptação do preceito internacional ISO 17799-1. Pela própria inteligência dos artigos supramencionados vê-se que o investimento em segurança das informações é uma obrigação e todos aqueles que não se atêm a esta situação poderão amargar grandes prejuízos. 2.2 – Necessidade de novas normas Os tipos penais existentes em nosso ordenamento jurídico não são suficientes para coibir os crimes praticados com o uso das novas tecnologias. Ademais, segundo o princípio da anterioridade da lei penal - Não há crime sem lei anterior que o defina, nem pena sem prévia cominação legal – que está petrificado no art. 5º, XXXIX, da CF 88, nos obriga a fazer uma interpretação restritiva do tipo penal impossibilitando a sua aplicação a casos análogos como é o caso da aplicação do crime de furto (art. 155 do Código Penal) ao crime de furto de dados. Marco Aurélio Rodrigues da Costa10, em sua pioneira monografia sustenta a possibilidade de aplicação do art. 155 do CP ao crime de furto de dados, afirmando: “O bem objeto de furto, além de ser alheio deve ser móvel.... Os dados armazenados, também são coisa móvel...” A posição do ilustre advogado é passível de discordância por que o furto é um crime material, onde há uma diminuição do patrimônio do sujeito passivo, em contra partida, um aumento do patrimônio do sujeito ativo. Quando um arquivo é “furtado” de outro computador não há uma diminuição patrimonial, pois o mesmo não é retirado da posse do sujeito passivo. Na verdade, o arquivo é copiado por aquele que comete o ato, ficando o arquivo de origem na posse do sujeito passivo. Além disso, a soma das partes é maior que o todo, portanto não há uma subtração e por conseguinte não há o furto. Com a finalidade de solucionar o problema de falta de lei específica para ser aplicada ao caso concreto, quando se trata de crimes de informática, é que necessitamos de novos tipos penais. 2.3 – Definição de crimes puros de Informática. Durante a pesquisa bibliográfica, notou-se que não há consenso na doutrina nacional e na estrangeira sobre a definição do que seja crime de informática. Wasik sustenta que “O crime de informática é um tópico difícil, onde não é fácil haver consenso sobre a sua definição”11. Parker e Nuncum definem o “crime de informática como qualquer outro ato ilegal, onde um conhecimento especial de tecnologia de informática é essencial par a sua execução, investigação e acusação”12. Para Dotti “crime de informática puro é toda e qualquer conduta ilícita que tenha por objetivo exclusivo o sistema de computador, seja pelo atentado físico ou técnico do equipamento e seus componentes, inclusive dados e sistemas”13. Para Neil Barret “Crimes digitais seriam todos aqueles relacionados às informações arquivadas ou em trânsito por computadores, sendo esses dados acessados ilicitamente, 10 COSTA, Marco Aurélio, Crimes de Informática III. Retirado da Internet, Urugauiana – RS, 1989. s/p. 11 LICKS, Otto Banho e JUNIOR, João Marcelo de Araújo. Aspectos penais dos crimes de informática no Brasil. Revista dos tribunais Rio Grande do Sul, 1994. p. 94. 12 _____________________________________________. Aspectos penais dos crimes de informática no Brasil. Revista dos tribunais, Rio Grande do Sul, 1994. p. 94. 13 LICKS, Otto Banho e JUNIOR, João Marcelo de Araújo. Aspectos penais dos crimes de informática no Brasil. Revista dos tribunais Rio Grande do Sul, 1994. p. 95. usados para ameaçar ou fraudar; para tal prática é indispensável a utilização de um meio eletrônico”14. O Advogado Marco Aurélio afirma que: “crimes de informática são aqueles em que o sujeito ativo visa especificamente ao sistema de informática, em todas as suas formas. Entendemos serem os elementos que compõem a informática o “software” e “hardware” (computadores e periféricos), os dados e sistemas contidos no computador e os meios de armazenamento externo, tais como: fitas, disquetes, etc. Portanto, são aquelas condutas que visam exclusivamente violar o sistema de informática do agente passivo”15. A professora Ivette Senise Ferreira definiu como “ação típica, antijurídica e culpável, contra ou pela utilização de processamento automático de dados ou sua transmissão”. Acrescenta que “o conceito abrange qualquer comportamento humano, positivo ou negativo, desde que seja típico, ou seja, corresponda ao modelo previsto na lei como crime, com a penalidade respectiva, atendendo-se ao princípio nullum crime nulla poena sine lege, que é básico em nosso país”16. O professor João Marcelo de Araújo Júnior diz ser “uma conduta lesiva, dolosa, a qual não precisa, necessariamente, corresponder à obtenção deuma vantagem ilícita, porém praticada, sempre, com a utilização de dispositivos habitualmente empregados nas atividades de informática”17. 14 _____________________________________________. Aspectos penais dos crimes de informática no Brasil. Revista dos tribunais Rio Grande do Sul, 1994. p. 95 15 COSTA, Marco Aurélio, Crimes de Informática III. Retirado da Internet, Uruguaiana – RS, 1989. s/p. 16 BARRA, Estudos jurídicos em homenagem a Manoel Pedro Pimentel, RT, São Paulo, 1992. p. 141. 17 JÚNIOR, João Marcelo Araújo, Computer Crime: Conferência Internacional de Direito Penal. Anais Procuradoria Geral da Defensoria Pública,Rio de Janeiro:, 1988. p. 461. Licks e Araújo definem como sendo “a conduta que atenta imediatamente contra o estado natural dos dados e recursos oferecidos por um sistema de processamento, armazenagem ou transmissão de dados, seja em sua forma, apenas compreendida pelos elementos que compõe um sistema de tratamento, transmissão ou armazenamento de dados, seja na sua forma compreensível pelo homem. Tal atentado deve dar-se contra os dados que, por sua vez, trabalharão sem a intervenção do homem, sendo estes o objeto material do crime.”18 Dentre todas as definições apresentadas, destaca-se a dos professores Licks e Araújo como sendo a mais precisa. Dela extrai-se que: Crime puro de informática é toda ação típica, antijurídica perpetrada com o uso de equipamentos de informática contra os dados, que se encontram em processamento automático e/ou eletrônico ou em transmissão. Portanto, para o cometimento do crime puro de informática são necessários dois elementos: a) Que seja perpetrado com o uso de equipamentos de informática. b) Que seja contra dados. 2.4 - Distinção entre e crime comum e crime puro de informática. A partir da definição do que é crime puro de informática, é necessário que se faça distinção entre este tipo de crime e os crimes comuns. 18 LICKS, Otto Banho e JUNIOR, João Marcelo de Araújo. Aspectos penais dos crimes de informática no Brasil. Revista dos tribunais, Rio Grande do Sul, , 1994. p. 97. Muitas vezes os crimes comuns podem atingir bens de informática, como monitores de vídeo, teclado, CPUs, disquetes, fitas magnéticas, redes, cabos e etc. Mas, nem por isso, os atos que atingem tais bens serão crimes de informática. Um exemplo seria aquele onde uma pessoa, com o objetivo de destruir um banco de dados gravado em um disquete, quebra-o com as mãos. O crime ocorrido foi o de dano, já que o disquete sofreu avarias, ficando inservível para o fim a que se destina mas não é um crime de informática. Como já citado, para que exista crime de informática é necessária a presença de dois elementos: que o crime seja cometido contra dados e com o uso de equipamentos de informática. No exemplo acima, o crime, apesar de ter sido perpetrado contra dados, não foi cometido com o uso de equipamentos de informática e sim com a mão. Não podendo ser qualificado como um crime puro de informática. Doutra forma, se uma pessoa, com a intenção de ofender a reputação de outrem, constrói uma página para Internet com imagens íntimas e textos ofensivos e os coloca na rede, disponibilizando o material para todos os usuários, o crime cometido não foi de informática, pois, apesar de ter sido perpetrado com o uso de computadores, não foi contra dados. O objetivo do crime foi de macular a imagem de outra pessoa, sendo a princípio, um crime de difamação, previsto no Código Penal Brasileiro no artigo 139. Um exemplo de crime puro de informática é aquele em que uma pessoa, utilizando-se de um computador e um acesso à Internet, invade outro computador e rouba um banco de dados. Neste caso, estão presentes os dois elementos necessários para a caracterização do crime de informática. Apenas com a obtenção, destruição ou alteração dos dados o crime já está consumado, não sendo necessário nenhuma vantagem patrimonial. A distinção entre crime comum e crime puro de informática é de vital importância. Pela análise dos projetos de lei em curso no legislativo, nota-se que, muitas vezes, o legislador não consegue distinguir as duas espécies de crime, levando a situações esdrúxulas. Um exemplo seria o projeto de lei nº 200/2000 de autoria do Senador Renan Calheiros que define e tipifica os delitos informáticos, e dá outras providencias. Art. 1º Constitui crime de uso indevido da informática: ........................................................................... § 4º contra a vida e integridade física das pessoas: I – o uso de mecanismos da informática para ativação de artefatos explosivos, causando danos, lesões ou homicídios; Pena: reclusão, de um a seis anos e multa. Se acaso uma pessoa praticasse o ato descrito no art 1º, §4º, I, do projeto em análise, ou seja, escondesse uma bomba e utilizasse um computador como detonador do artefato explosivo, levando à morte a vítima, o sujeito ativo seria apenado com no máximo (6) seis anos de reclusão. Já, se cometesse o mesmo homicídio utilizando-se de uma bomba com detonador mecânico poderia ser condenado a uma pena mínima de (12) anos, conforme o artigo 121, § 2º, III do Código Penal Brasileiro. Com o exemplo acima se nota claramente que o legislador não distinguiu o crime puro de informática dos crimes comuns que usam a informática como meio para a sua execução. A vida, integridade física e patrimonial, que são os objetos jurídicos tutelados no art. 1º, §4, I, do projeto em epígrafe, já estão protegidos pelo nosso Direito Penal. A era digital elegeu outros bens como socialmente relevantes tais como: a informação, a privacidade e o acesso às redes de computadores, e serão estes bens que o legislador deverá proteger. 2.5 - Concurso entre crime puro e crime comum. Os crimes puros de informática, como a maioria dos crimes, poderão aparecer em concurso com crimes comuns. Por exemplo: Uma pessoa, utilizando-se de um computador e um acesso à Internet, invade o servidor da empresa em que trabalha e copia um arquivo que contém a fórmula do produto de maior vendagem e o divulga na rede, para causar a ruína da empresa empregadora. Neste caso, existem dois crimes em concurso de forma. O primeiro, que é um crime puro de informática, não tipificado, o qual foi perpetrado com o uso de computador e teve como objetivo furtar a base de dados e consumou-se quando o agente ativo obteve o banco de dados. O segundo crime cometido foi o de divulgação de informação sem autorização o qual já está positivado na lei nº 9.279, de 14 de maio de 1996 que regula os direitos e as obrigações relativos a propriedade industrial, enquadrando a ação descrita acima como crime de concorrência desleal19, art. 195, inciso XII. 2.6 - Quem é o criminoso de informática? Segundo Mauro Marcelo de Lima e Silva chefe do Setor de Crimes pela Internet da polícia de São Paulo “O perfil do criminoso de informática, baseado em pesquisa empírica, indica que os criminosos são jovens, educados, com idade entre 16 e 32 anos, do sexo masculino, magros, caucasianos, audaciosos e aventureiros, com inteligência bem acima da média e movidos pelo desafio da superação do conhecimento, além do sentimento de 19 Art. 195. Comete crime de concorrência desleal quem: XI - divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato; XII - divulga, explora ou utiliza-se, sem autorização, de conhecimentosou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude; ou (grifo nosso) Pena - detenção, de 3 (três) meses a 1 (um) ano, ou multa. anonimato, que bloqueia seus parâmetros de entendimento para avaliar sua conduta como ilegal, sempre alegando ignorância do crime e, alegando ser apenas, uma brincadeira”.20 Existem diversos grupos entre os criminosos da informática, dentre eles: Hacker – Não são criminosos. Sua imagem é muito distorcida pela mídia. Na verdade, são especialistas em informática que procuram defeitos (bugs) nos sistemas operacionais e programas e quando os descobrem, comunicam aos fabricantes, além de toda a comunidade interessada, através de informativos periódicos, listas de discussão ou “news groups”. Crakers – São os criminosos mais temidos da rede. São movidos pelo dinheiro e fama. Vivem à procura de alguma brecha na segurança das redes para roubar dados e pichar sites. Geralmente agem em grupo e mantêm páginas na Internet contendo informações e programas para a prática dos crimes. Além de serem bons programadores são muito solidários, quando fazem um bom programa, Disponibilizam, na rede, o código Fonte para que outros programadores retirem os defeitos do original e criem versões novas, mais avançadas, com recursos mais destrutivos. 20 SILVA, Mauro Marcelo de Lima. Os Crimes Digitais Hoje. Modulo News. O mais famoso Craker do mundo é o americano Kevin David Mitnick Atualmente em liberdade condicional, foi condenado por fraudes no sistema de telefonia, roubo de informações e invasão de sistemas. Os danos materiais causados por ele são incalculáveis21. (foto 01) (Fonte anti-hacker www.hackers.com.br) foto 01 Hacktivista – São os Crakers envolvidos em movimentos político-sociais ou ideológicos. Não são movidos pelo dinheiro, mas por promoção das suas causas. O Hacktivismo surgiu em 1997, quando o cDc (www.cultdeadcow.com) anunciou que trabalharia auxiliando Hong Kong Blondes na luta contra a repressão em Pequim. Este é um movimento que vem crescendo. "O futuro de qualquer ativista político está na Grande Rede", declarou Stanton McCandish, diretor da Eletric Frontier Foundation (www.eff.org), que há três anos moveu a campanha do laço azul pela liberdade de expressão na Internet22. Carders – Especialistas em criar programas que geram números de cartão de crédito possibilitando a qualquer um fazer compras em sites de comércio eletrônico sem gasto. Phreaker- É especializado em telefonia. Fazem parte de suas principais atividades as ligações gratuitas, tanto locais como interurbanas, reprogramação de centrais telefônicas e 21 Fonte: anti-hacker - www.hackers.com.br 22 CARDOSO, Renato. Hacktivismo. Módulo instalação de escutas, além de conseguir que um possível ataque a um sistema tenha como ponto de partida provedores de acessos em outros países, suas técnicas permitem não somente ficar invisível diante de um provável rastreamento, como também forjar o culpado da ligação fraudulenta. O prejuízo causado pelos “Phreaker”, no Brasil, gira em torno de 2% do faturamento das operadoras de telefone móvel, ou seja, US$ 15 bilhões23. O introdutor do conceito de Phreaker foi o Norte Americano John Draper (foto 02) John conseguiu fazer ligações gratuitas utilizando um apito de plástico, que vinha de brinde em uma caixa de cereais. Por causa deste ato os EUA foram obrigados a trocar a sinalização de controle dos seus sistemas de telefonia24. (foto 02) foto 02 23 Fonte: IDG Now! Outubro/99 24 Fonte anti-hacker www.hackers.com.br foto 03 Outro Phreaker que marcou a história foi o americano Kevin Poulsen, Especialista em telefonia, ganhou vários concursos em rádios, inclusive um Porshe, ao participar de um sorteio feito por uma rádio americana onde ganharia o prêmio o ouvinte de que fizesse a ligação de número 102º. Kevin invadiu a central telefônica e controlou a para ser o 102º a fazer a ligação e ganhou o robusto prêmio25. (foto 03) 7 - O que move os hackers? Alexandre Jean Daoun e Renato M.S. Opice Blum26 dividem a motivação dos hackers em cinco aspectos: “a) Aspecto Social – Cuidam de ganhar ascensão no grupo social em que vivem, através de ataques bem sucedidos a redes importantes ou sites famosos, e com sua posterior pichação, ganham destaque dentro da comunidade underground, sendo mais considerado pelo grupo e com isso ganhando acesso à informação de ponta, pois não há poder sem informação. b) Aspecto técnico – O fim perseguido, é a demonstração das falhas dos sistemas que, segundo os hackers, foram deixadas propositalmente pelos criadores dos programas. 25 Fonte anti-hacker www.hackers.com.br 26 LUCCA, Newton de. Direito e Internet: Aspectos Jurídicos Relevantes. 1.ed. Bauru, SP, Edipro, 2.000. 122 p. c) Aspecto político – São os que têm fortes convicções políticas. Utilizam invasão dos sistemas para “passar seus ideais”. São pequenos focos politizados e atuantes que brigam por uma causa e se expressam no meio eletrônico. d) Aspecto laboral – Compreendem aqueles que buscam um emprego, mostrando que são melhores que aqueles que desenvolvem o sistema invadido. Incluem-se também aqueles que são contratados pela promessa de prêmio por colocarem à prova os novos mecanismos de segurança informatizados. e) Aspecto governamental internacional – Envolve os atos praticados por um governo contra outro. É o avanço da tecnologia de um país sobre outro. Sabemos que tal tendência, iniciada com a chamada 'guerra fria', transcendeu a guerra do Golfo. É a tendência natural de substituição gradual de armamentos pesados por tecnologias de ponta”. 2.8 - Situação atual relativa aos crimes informáticos. Grande parte dos dados apresentados nesta etapa do trabalho foram retirados da pesquisa anual da empresa Módulo Security Solutions, que é uma das maiores organizações que atuam no segmento de segurança das informações, e que há seis anos promove uma pesquisa nacional com empresas brasileiras de médio e grande porte além de instituições governamentais. 2.8.1 - Qual o país sofreu o maior número de ataques? O Brasil foi o país que apresentou o maior crescimento de ataques durante o ano 2000, totalizando 563 invasões no período, contra 124 em 1999.27 Gráfico 00 – Fonte: Attrition 2.8.2 - Quantificação dos prejuízos sofridos devido a um ataque a) Quantificação nos EUA. Uma grande barreira a ser transposta pelas empresas é a quantificação dos prejuízos após um ataque (BIA Business Impact Analisys), pois a informação é um bem intangível e de difícil conversão monetária. No ano de 1998, dentre o total de empresas atacadas nos EUA, somente 31% conseguiu contabilizar os prejuízos causados que chegaram a cifra de 123 milhões de dólares. Em 1999, as perdas chegaram a U$ 265 milhões, mais que o dobro do 27 Fonte: attrition.org. ano anterior. Isso considerando que apenas 42% dos entrevistados puderam estabelecer o tamanho do prejuízo.28 www.ricardoreis.cjb.net Gráfico 01 b) Quantificação no Brasil. A situação brasileira não é muito diferente da Norte Americana. Apenas 19% das empresas nacionais conseguiram determinar os prejuízos que rondaram a casa do milhão de reais no ano de 1998. (gráfico 03) 28 Fonte: Reuters, 22 de março de 2000. www.ricardoreis.cjb.net Gráfico 02 2.8.3 - Quais as principais ameaças? O vírus de computador é, semdúvida, o maior causador de problemas nos sistemas de informática de uma empresa. Segundo a pesquisa da Módulo, 75% dos entrevistados acreditam que o vírus é a principal ameaça29, e 73 % entendem que os problemas com vírus, no ano de 2001, vão aumentar30. Em segundo lugar, dentre os maiores causadores de problemas vem a divulgação indevida de senha. Funcionários despreparados, sem noção dos danos que podem ser 29 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000. 30 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000. causados, não tomam os devidos cuidados com sua senha e de boa-fé as entregam a pessoas não autorizadas. Os piores danos causados por divulgação indevida de senha vêm dos funcionários que maliciosamente as entregam a terceiros com a finalidade de provocar prejuízos ao empregador. “Ao devassar a conta de e-mail do grupo criminoso inferno.br, a polícia, encontrou mais de 600 e-mails com diversas senhas de funcionários de empresas que as enviavam ao grupo com o pedido que os hackers fizessem um ataque. Segundo informou o Delegado Mauro Marcelo de Lima e Silva, chefe do Setor de Crimes pela Internet da polícia de São Paulo”31. Os hackers, apesar de tão temidos, atualmente ocupam a terceira posição, sendo responsáveis por 44% dos ataques32. É necessário que se veja que na análise histórica das principais ameaças os hackers sempre figuraram como o quarto maior causador de problemas e somente no ano 2.000 caíram para a terceira posição. Em quarto lugar encontram-se os funcionários sendo responsáveis por 42% dos problemas de insegurança. Além disso, a pesquisa aponta que 51% dos problemas de segurança têm origem interna 33. Segundo o Gartner Group 34, nos EUA os funcionários são responsáveis por 80% dos problemas com segurança das informações dentro das empresas, perdendo apenas para os vírus de computador. 31 Fonte: O Dia – online 05 de maio de 2000. 32 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000. 33 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000 34 Fonte: Computerworld, 15 de fevereiro de 2000. www.ricardoreis.cjb.net Gráfico 03 2.8.4 - Investimentos em sistemas de segurança. As empresas brasileiras estão se conscientizando em relação à necessidade de segurança. Na 6ª Pesquisa Nacional Sobre Segurança da Informação foi demonstrado que 93% dos entrevistados já utilizam proteção contra vírus e 91% utilizam sistemas de cópias de segurança35 (backup). 35 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000 Em 2000, 89% das empresas já possuem o firewall36,contra apenas 5% que utilizavam este sistema de proteção no ano de 1996. Mas apenas 27% possuem um plano de proteção contra ataques37. A pesquisa também informa que 53% das entrevistados estão implementando medidas de capacitação e treinamento dos seus funcionários. E para 58% dos entrevistados o maior obstáculo para a implementação de uma política de segurança é a conscientização38. Outro dado importante demonstrado pela pesquisa é que 82% das empresas entrevistadas possuem acesso à Internet, que é responsável por 40% das invasões, mas apenas 39% das corporações possuem política de uso da Internet39. 2.8.5 - Providências tomadas após um ataque. A maioria das empresas (54%) após sofrer um ataque só tomou providências internas. Apenas 9% recorreram a medidas judiciais no ano de 2.000 (gráfico 04), contra 20% nos EUA40, devido a alguns fatores. São eles: - Falta de legislação específica; - Falta de operadores do direito capacitados para atuarem no caso; - Falta de técnicos competentes para colher provas; 36 Firewall é um sistema de defesa no qual programas de computador isolam a rede interna de computadores da organização da rede externa dificultando um ataque. 37 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000. 38 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000 39 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000 - Medo da repercussão negativa, que gera um desgaste no nome da empresa; - Medo de represálias por parte dos criminosos. www.ricardoreis.cjb.net Gráfico 04 2.9 – Situação atual relativa à legislação vigente. Devido à novidade do tema, no Brasil ainda não existe um Código Penal de Informática. Aliás, a sua própria criação é um tema controvertido. Entretanto, uma posição é unânime e foi expressada pelo Ministro do STF Celso Mello, que afirma: "Há leis em 40 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000 demasia e ultrapassadas para antigas demandas; e escassas, ou inexistentes, para demandas novas, como os chamados crimes informáticos.”41 2.9.1 - Legislação aplicável aos crimes de informática no Brasil No Brasil já existem alguns tipos penais que punem crimes puros de informática (anexo I) mas ainda não são capazes de abranger todos os atos de maior reprovação social onde deve ser aplicado o Direito Penal. Os poderes Legislativo, Executivo, Judiciário e o Ministério Público já se conscientizaram que o país necessita de leis para punir os crimes de informática. A discussão a respeito do tema é intensa e a todo momento estão sendo criados congressos que vem tendo a participação de doutrinadores de renome debatendo com jovens profissionais do direito, da tecnologia da informação, da segurança da informação, psicólogos, sociólogos e usuários, em fim, toda a sociedade, pois os crimes de informática envolvem diversos ramos do conhecimento humano, tornando- se uma ciência multidisciplinar. 2.9.2 – Projetos de lei em andamento. Dentre os projetos de lei em tramitação no legislativo brasileiro, o pioneiro foi o de número 1.713/96 de autoria do deputado Cássio Cunha Lima, que com seus 35 artigos cria diversos tipos penais elegendo novos bens jurídicos a serem tutelados pelo direito. O legislador comete o erro de ser excessivamente detalhista e casuísta, tentando engessar a informática, mas correndo o risco de ser engessado por ela. Todavia, colhe os louros por ter sido pioneiro, iniciando a discussão a respeito do assunto que desde a década de 70 é debatido nos EUA e na Europa, e só na década de 90 passou a ser discutido no Brasil. 41 Leis brasileiras pedem atualização. O Liberal. Belém, 10 nov. 1996, Painel, p. 7. O projeto mais recente, que versa sobre o tema, é de número 200/2000, do Senador Renan Calheiros que foi apresentado em uma época de grade turbulência na Internet, onde jovens brasileiros membros do grupo Inferno.br fizeram ataque de indisponibilidade (DoS) nos sites mais visitados do planeta. Devido a esta situação, o Brasil sofreu grande pressão externa levando à apresentação do projeto em questão que contém defeitos graves como por exemplo a bitipificação. Atualmente o projeto está parado. O único projeto que acredita-se ter possibilidade de ser transformado em lei é o 84/1999, de autoria do Deputado Luiz Piauhylino (PSDB-PE). O qual será analisado com mais profundidade no decorrer deste trabalho. Um projeto de grande importância, mas que não está recebendo a devida atenção, é o 3016/2000 do Deputado Antônio Carlos Pannuzio, que determina que todos os provedores de acesso à Internet manterão o registro das conexões realizadas pelos usuários nos últimos três ou cinco anos. Tais registros são conhecidos como “logs”. “Especialistas são unânimes em lembrar que os arquivos de “log” são os únicos registros de um comportamentosuspeito. Sem os mecanismos devidamente configurados e implementados dificilmente será possível determinar se uma tentativa de invasão foi feita e se o invasor foi bem sucedido”.42 O projeto do senador cuida da conservação dos “logs”, possibilitando a auditagem dos sistemas e a obtenção de provas. A maior crítica que se pode fazer a este projeto legislativo é falta de determinação legal de qual tipo de mídia deverá ser usada para conservar os arquivos de “logs”, além de não haver nenhuma penalidade se acaso os arquivos conservados forem alterados. 42 Análise de logs: peça-chave na auditoria de segurança, Modulo e-Security News, 17/05/ 2001. Disposições no sentido de garantir as provas já existem na legislação portuguesa de crimes de informática (Criminalidade Informática-Lei n.º109/91, 17 de Agosto. Art. 4º)43 2.9.3 - Política de segurança federal. O Poder Executivo Federal tem trabalhado para a implantação de uma política de segurança da informação. O Decreto nº 3.505, de 13 de junho de 2000, instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Destaca- se o parágrafo 2º do segundo artigo onde se definem os conceitos e os objetivos para a política de segurança do Governo Federal. Art. 2º Para efeitos da Política de Segurança da Informação, ficam estabelecidas as seguintes conceituações: II - Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento.(grifo nosso) Com a edição do decreto em análise, o Governo Federal define os pilares da segurança da informação, que são: a confidencialidade, a integridade e a disponibilidade das informações, em qualquer tipo de suporte, elegendo como integrantes do sistema de 47-Art. 4º Falsidade informática. 1. Quem, com intenção de provocar engano nas relações jurídicas, introduzir, modificar, apagar ou suprimir dados ou programas informáticos ou, por qualquer outra forma, interferir num tratamento informático de dados, quando esses dados ou programas sejam susceptíveis de servirem como meio de prova, de tal modo que a sua visualização produza os mesmos efeitos de um documento falsificado, ou, bem assim, os utilize para os fins descritos, será punido com pena de prisão até cinco anos ou multa de 120 a 600 dias. segurança não somente os programas, mas os recursos humanos e as instalações físicas. Entendendo como: Integridade – dentro do sentido aceito pelo Direito da Informação, a integridade consiste em que um dado só pode ser alterado por uma pessoa devidamente autorizada. Portanto, não é sinônimo de correção. Se um dado foi gerado errado deverá permanecer desta forma até a sua modificação por pessoa devidamente autorizada. Disponibilidade – o significado da palavra disponibilidade dentro da segurança da informação é que todo dado deve estar disponível a todo aquele que tenha interesse em acessá-lo e esteja autorizado para tanto. Confidencialidade – a acepção correta da palavra confidencialidade dentro do Direito da Informação é que os dados podem ser acessados, e este direito de acesso deve ser garantido só que unicamente para pessoas autorizadas. Os três pilares (confidencialidade, integridade e disponibilidade) têm que estar presentes em todos os sistemas legislativos que pretendam garantir a segurança das informações, pois a falta de somente um deles tornará o sistema vulnerável. 2.10 – Análise do projeto de lei 84/99. Nesta etapa do trabalho será feito uma análise crítica aos tipos penais aplicados aos crimes puros de informática presentes no projeto de lei 84/99 (anexo II) tomando sempre como referência a situação atual relativa aos crimes de informática já apurada neste trabalho. Será feita remissão, sempre que possível, à legislação portuguesa. 2.10.1 – Direito Comparado A escolha da legislação portuguesa como referência foi devido a este país já dispor de uma vasta gama de leis que versam sobre o tema44 e que são fruto de uma profunda discussão, que houve no continente europeu, na época da criação do mercado comum No início da unificação do velho continente foram aprovadas diversas diretivas sobre tecnologia da informação que foram reunidas em um único documento denominado Livro Verde. Baseado no Livro Verde foi criada a Sociedade da Informação, que tem como objetivo específico traçar metas a serem seguidas pelas empresas e apontar os novos bens jurídicos que devem ser tutelados pelos legisladores dos paises componentes do bloco. A legislação lusitana é uma das mais modernas no mundo, refletindo o posicionamento de todo bloco europeu. Ainda é importante destacar que este país já possui uma boa quantidade de julgados inclusive com seis condenações em primeira instância 45 entre os anos de 1997 e 1999, quando foi aplicada a lei de criminalidade Informática. 2.10.2- Crimes puros previstos no Projeto de lei 84/99. 2.10.2.a – Artigo 8º. 44 Lei da Criminalidade Informática (n.º109 de 17 de agosto, 91) DL nº48 de 15 de maço, 95 que altera o Código Penal português cria os tipos de devassa por meio de informática Art. 193º Burla informática Art. 221º a Portaria n.º 599/93, de 23 de Junho que regulamenta o acesso à informação contida no ficheiro central de pessoas coletivas. Além do Decreto-Lei Nº 290-D/99, de 2 de Agosto cria ao regime jurídico dos documentos eletrônicos e da assinatura digital. 45 Fonte: Estatística do Gabinete de Política Legislativa e Planejamento do Ministério da Justiça de Portugal. Dano a dado ou programa de computador Art. 8º. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado ou programa de computador, de forma indevida ou não autorizada. Pena: detenção, de um a três anos e multa. Neste artigo, o legislador deu um grande passo na tutela jurídica do dado penalizando quem apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado ou programa de computador. Este é um crime puro de informática e o objeto jurídico tutelado é a integridade dos dados ou dos programas de computador. A tutela específica do dado é necessária pois por possuir um corpo etéreo o dado em formato digital está sempre está ligado a um suporte (mídia) mas nem sempre o proprietário do computador ou da mídia que contém o dado é o seu dono, podendo possuir apenas uma licença de uso, que é o que geralmente ocorre. Esta situação causava a impossibilidade do dono do dado dar prosseguimento à ação penal, independentemente da vontade do dono da mídia, quando era vítima de um ataque. O dano a dado ou programa de computador está tipificado no art. 5º da legislação portuguesa, Lei n.º109 de 17 de Agosto, 1991, que cria o crime de dano relativo a dados ou programas informáticos46. 2.10.3.b- Artigo 9º. Acesso indevido ou não autorizado. 46 Art. 5º Dano relativo a dados ou programas informáticos. 1. Quem, sem para tanto estar autorizado, e atuando com intenção de causar prejuízo a outrem ou de obter um benefício ilegítimo para si ou para terceiros, apagar, destruir, no todo ou em parte, danificar, suprimir ou tornar não utilizáveis dados ou programas informáticos alheios ou, por qualquer forma, lhes afetar a capacidade de uso será punido corri pena de prisão até três anos ou penade multa. 2. A tentativa é punível. Acesso indevido ou não autorizado Art. 9o. Obter acesso, indevido ou não autorizado, a computador ou rede de computadores. Pena: detenção, de seis meses a um ano e multa. No art. 9º, o legislador pune o acesso indevido ou não autorizado a computador ou redes de computadores com a finalidade de preservar a confidencialidade dos dados em um sistema computacional e por via oblíqua protege a integridade dos dados. Este é um crime puro de informática pois só pode ser perpetrado com o uso de computadores e programas e é um dos atos mais cometidos pelos criminosos externos da corporação, pois para que se possa roubar dados ou alterá-los é necessário que se tenha acesso ao sistema. Acredita-se ser acertada a posição do legislador nacional ao punir o crime de acesso indevido ou não autorizado na forma tentada. Um criminoso ao tentar obter acesso não autorizado a um sistema computacional causa grandes prejuízos a suas vítimas, mesmo sem lograr êxito em sua empreitada criminosa, pois um ataque pode durar vários dias e consome diversos recursos do sistema, como o tempo de funcionamento das máquinas, banda e disponibilidade do sistema. A legislação portuguesa, na Lei n.º109 de agosto, 1991 pune o acesso ilegítimo no artigo 7ºde forma bem detalhada e precisa 47. 47 Art. 7º Acesso ilegítimo. 1. Quem, não estando para tanto autorizado e com a intenção de alcançar, para si ou para outrem, um benefício ou vantagem ilegítimos, de qualquer modo aceder a um sistema ou rede informáticos será punido com pena de prisão até um ano ou com pena de multa até 120 dias. 4. A tentativa é punível. 2.10.4.c – Artigo 9º , § 1º. Parágrafo primeiro. Na mesma pena incorre quem, sem autorização ou indevidamente, obtém, mantém ou fornece a terceiro qualquer meio de identificação ou acesso a computador ou rede de computadores. Acertadamente, o legislador pune aquele que fornece, indevidamente, qualquer meio de identificação ou acesso a um sistema computacional. Como já foi visto na análise do gráfico 03, o fornecimento indevido de senha foi detectado como a segunda maior ameaça aos sistemas no ano de 2.000, só perdendo para o vírus de computador. 2.10.5.d – Artigo 10º. Alteração de senha ou mecanismo de acesso a programa de computador ou dados Art. 10o. Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer outro mecanismo de acesso a computador, programa de computador ou dados, de forma indevida ou não autorizada. Pena: detenção, de um a dois anos e multa. No artigo 10, o legislador cria a proteção aos mecanismos de acesso aos computadores ou dados, criando um tipo misto onde se misturam elementos dos crimes puros de informática como apagar ou alterar, protegendo com isso a disponibilidade daqueles que podem acessar devidamente o sistema e não o farão pois mecanismos de acesso foram alterados ou destruídas. Além disso, funde ao tipo elementos de crime comum, quando coloca que poderá ser perpetrado contra qualquer mecanismos de acesso a computador, o que inclui equipamentos como: leitora de cartão, scanner de impressão digital , de íris ocular e outros. 2.10.6.e – Artigo 11º. Obtenção indevida ou não autorizada de dado ou instrução de computador. Art. 11o. Obter, manter ou fornecer, sem autorização ou indevidamente, dado ou instrução de computador. Pena: detenção, de três meses a um ano e multa. O intuito do legislador, no artigo 11, é a punição daquele que obtém, mantém ou fornece de forma indevida ou não autorizada dado ou instrução de computador. Este é um crime puro de informática conhecido como “furto de dados, e é um dos mais danosos atingindo toda a sociedade. Este é um dos crimes mas tentados e perpetrados pelos crackers que passam longos períodos de suas vidas tentando invadir computadores e roubar bancos de dados e, principalmente, números de cartões de crédito. De acordo com a 6ª pesquisa anual realizada pelo Computer Security Institute (CSI) e o FBI, os prejuízos causados por crackers em 2000 cresceram 42% em relação ao ano anterior, chegando a 378 milhões de dólares. A pesquisa, realizada com 538 profissionais de segurança de companhias de vários setores, revelou que as maiores perdas estão relacionadas ao roubo de informações confidenciais. O legislador português pune o crime de “furto de dados” no artigo 6º48 da Lei n.º109/91, 17 de agosto, mas infelizmente o tipo penal não é muito preciso só podendo ser aplicado aquele que suprime os dados com a intenção de entravar ou perturbar o 48 Art. 6ª Sabotagem informática. 1. Quem introduzir, alterar, apagar ou suprimir dados ou programas informáticos ou, por qualquer outra forma, interferir em sistema informático, actuando com intenção de entravar ou perturbar o funcionamento de um sistema informático ou de comunicação de dados à distância, será punido com pena de prisão até 5 anos ou com pena de multa até 600 dias. (grifo nosso) funcionamento do sistema. De um modo geral, os dados são furtados e não há perturbação perceptível no sistema, tanto que a maioria das vítimas não sabe que foram furtadas. 2.10.7.f – Artigo 12º. Violação de segredo armazenado em computador, meio magnético de natureza magnética, óptica ou similar Art. 12o. Obter segredos, de indústria ou comércio, ou informações pessoais armazenadas em computador, rede de computadores, meio eletrônico de natureza magnética, óptica ou similar, de forma indevida ou não autorizada. Pena: detenção, de um a três anos e multa. No artigo 12 o legislador incrimina a obtenção não autorizada de segredos da industria, comércio ou informações pessoais com a pena de um a três anos. O artigo em análise gera uma situação esdrúxula pois se alguém obtém um segredo de indústria ou comércio pelo roubo de um disquete terá uma pena de 1 (um) a 3 (três) anos, conforme o projeto. Se de outra forma, obtém o mesmo segredo que está impresso em uma folha de papel terá cometido o crime de concorrência desleal49 e terá uma pena de 3 (três) meses a 1 (um) ano, ou multa conforme a Lei nº 9.279, de 14 de maio de 1996, Artigo 195, XI. 2.10.8.g – Artigo 13º. Criação, desenvolvimento ou inserção em computador de dados ou programa de computador com fins nocivos Art. 13o. Criar, desenvolver ou inserir, dado ou programa em computador ou rede de computadores, de forma indevida ou não autorizada, com a finalidade de 49 Art. 195. Comete crime de concorrência desleal quem: XI - divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato; Pena - detenção, de 3 (três) meses a 1 (um) ano, ou multa. apagar, destruir, inutilizar ou modificar dado ou programa de computador ou de qualquer forma dificultar ou impossibilitar, total ou parcialmente, a utilização de computador ou rede de computadores. Pena: reclusão, de um a quatro anos e multa. No artigo 13, o legislador pune a criação, o desenvolvimento e a inserção de todas as pragas virtuais como os vírus, cavalos de Tróia, “backdoor”, “worm” que, como mostrado na análise do gráfico 03, os vírus são a principal ameaça aos sistemas computacionais. O legislador pune os vírus que apagam, destroem, inutilizam ou modificam os dados, quebrando a integridade do sistema computacional e ainda pune aqueles vírus que de qualquer forma dificultem ou impossibilitem, total ou parcialmente, a utilização de computador ou rede de computadores.Ou seja, causam a indisponibilidade do sistema. O projeto poderia ter sido mais preciso utilizando a palavra disseminação ao invés de inserção. De modo geral, aquele que cria os vírus não os insere em um sistema computacional, ele os dissemina levando o próprio usuário a inseri-lo sem saber da existência do vírus. Acredita-se que legislação portuguesa tutelou de forma satisfatória a disponibilidade dos dados quando criou o crime de sabotagem informática no art. 6º50, da Lei n.º 109 de 17 de Agosto, 1991. O legislador lusitano utilizou um tipo mais genérico e abstrato, punindo aquele que de qualquer forma perturba o funcionamento de um sistema telemático. 50 Art. 6º Sabotagem informática. 1. Quem introduzir, alterar, apagar ou suprimir dados ou programas informáticos ou, por qualquer outra forma, interferir em sistema informático, atuando com intenção de entravar ou perturbar o funcionamento de um sistema informático ou de comunicação de dados à distância, será punido com pena de prisão até 5 anos ou com pena de multa até 600 dias. No art. 14 do projeto 84/99 puni-se oferecimento de pornografia sem o devido aviso prévio com pena de detenção de (1) um a (3) três anos e multa. O artigo em epígrafe não é um crime puro de informática, mas é importante ressaltar que o oferecimento de pornografia a crianças ou adolescentes já é crime, conforme o Estatuto da Criança e Adolescente, Lei nº 8069, de 1990, que no seu artigo 241 prescreve uma pena de (1) um a (4) quatro anos para quem publicar cenas de sexo explícito, independentemente de qual seja o meio de publicação, podendo ser até uma rede de computadores. 2.10.8.g – Artigo 15º. Art. 15o. Se qualquer dos crimes previstos nesta lei é praticado no exercício de atividade profissional ou funcional, a pena é aumentada de um sexto até a metade. Acertadamente, pune-se com mais dureza o funcionário que comete os crimes tipificados nesta lei. Como já mostrado na análise da situação atual, (gráfico 03) os funcionários estão em quarto lugar entre os maiores causadores de incidentes de segurança respondendo por 42% do total. 2.10.9 – Críticas finais ao projeto 84/99. De um modo geral, o projeto 84/99 é bom pois pune as principais ameaças aos sistemas computacionais (gráfico 03) como a disseminação de vírus, divulgação indevida de senha, funcionários insatisfeitos que atacam o sistema e os atos praticados pelos hackers. Infelizmente, o sistema legal proposto deixa brechas para algumas espécies de ataques sem tipificação legal, como por exemplo o ataque de indisponibilidade (DoS). O projeto só tutela a confidencialidade e a integridade deixando de lado a disponibilidade dos dados na rede. 3.0 – Conclusão. A segurança da informação é um tema bastante complexo, envolvendo várias áreas das ciências humanas. Portanto, é necessário a união de todos no sentido de se construir um sistema mais seguro pois todos perdem com a insegurança. Somente leis, decretos, programas de computador, manuais de conduta não trarão grandes resultados no combate aos crimes de informática. É necessário uma mudança cultural em toda a sociedade. O sistema legal ideal de proteção dos dados deve deixar espaço para a auto- regulamentação. Deverá basear-se no princípio de criminalização mínima, criando penas especiais para aqueles que cometem crimes de informática. Ademais, deverá haver a modalidade culposa nos tipos penais e prescrever uma diminuição da pena quando a invasão se der pela negligência da empresa ou do gerente do sistema, pois pesquisas apontam que a grande parte das invasões poderiam ser evitadas se os sistemas tivesse sido atualizados. O legislador português, atento a este detalhe, criou a figura do Auditor de segurança no artigo 1651 do Decreto-Lei Nº 290-D/99, que regulamenta o regime jurídico dos documentos eletrônicos e da assinatura digital. É necessário que o legislador fique mais atento ao princípio da proporcionalidade. A aplicação de penas muito severas poderá levar a situações prejudiciais para a própria sociedade. Quando se pune uma pessoa que cometeu um ato criminoso de informática com até seis anos de reclusão, como ocorre em alguns casos no projeto 84/99, levando o delinqüente a um sistema fechado ou semi-aberto corre-se o risco de se formar um novo grupo criminoso, pois serão colocados no mesmo lugar, criminosos violentos ou estelionatários perspicazes, juntamente com hackers podendo formar um grupo que unirá as habilidades dos criminosos de informática e a astúcia de criminosos comuns. Apenas relembrando a história, foi a união de criminosos políticos com bandidos comuns, no presídio da Ilha Grande, que se deu início ao Comando Vermelho, que é a maior organização criminosa do Brasil. A segurança da informação é uma corrente onde tensão suportada se mede pelo elo mais fraco. Quando um objetivo muito almejado pelos criminosos se torna impossível de ser alcançado devido à sofisticação tecnológica, o delinqüente se vira para algo mais fácil. Quando as empresas atingirem um nível de segurança tal que não possa ser facilmente atacada, os hackers se voltarão para os usuários domésticos que serão o elo mais fraco dentro da corrente, com isso causarão um drama muito maior do que os vividos atualmente pelas empresas, por isso é necessária a união de todos com a finalidade de construir a nova sociedade da informação. 51 Artigo 16.º Auditor de segurança. 1.Todas as entidades certificadoras terão um auditor de segurança, pessoa singular ou coletiva, o qual elaborará um relatório anual de segurança e o enviará à autoridade credenciadora, até 31 de Março de cada ano civil. ANEXO I LEI No 9.983, DE 14 DE JULHO DE 2000. Altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código Penal e dá outras providências. Art. 1o São acrescidos à Parte Especial do Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código Pena l, os seguintes dispositivos: "Inserção de dados falsos em sistema de informações" "Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano:" "Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa." "Modificação ou alteração não autorizada de sistema de informações" "Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente:" "Pena – detenção, de 3 (três) meses a 2 (dois) anos, e multa." "Parágrafo único. As penas são aumentadas de um terço até a metade se da modificação ou alteração resulta dano para a Administração Pública ou para o administrado." "Art.153. ......................................." "§ 1o-A. Divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública:" "Pena – detenção, de 1 (um) a 4 (quatro) anos, e multa." "§ 1o (parágrafo único original)" "§ 2o Quando resultar prejuízo para a Administração Pública, a ação penal será incondicionada." "Art. 325. ...................................." "§ 1o Nas mesmas penas deste artigo incorre quem:" "I – permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública;" "II – se utiliza, indevidamente, do acesso restrito." "§ 2o Se da ação ou omissão resulta dano à Administração Pública ou a outrem:" (AC) "Pena – reclusão, de 2 (dois)a 6 (seis) anos, e multa." "Art.327. ......................................." "§ 1o Equipara-se a funcionário público quem exerce cargo, emprego ou função em entidade paraestatal, e quem trabalha para empresa prestadora de serviço contratada ou conveniada para a execução de atividade típica da Administração Pública." ) LEI Nº 9.296, DE 24 DE JULHO DE 1996 Regulamenta o inciso XII, parte final, do art. 5° da Constituição Federal. (art. 10) Art. 10. Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei. Pena: reclusão, de dois a quatro anos, e multa. LEI Nº 9.100, DE 29 DE SETEMBRO DE 1995. Estabelece normas para a realização das eleições municipais de 3 de outubro de 1996, e dá outras providências. DOS CRIMES ELEITORAIS Art. 67. Constitui crime eleitoral: VII - obter ou tentar obter, indevidamente, acesso a sistema de tratamento automático de dados utilizado pelo serviço eleitoral, a fim de alterar a apuração ou contagem de votos: Pena - reclusão, de um a dois anos, e multa; VIII - tentar desenvolver ou introduzir comando, instrução ou programa de computador, capaz de destruir, apagar, eliminar, alterar, gravar ou transmitir dado, instrução ou programa ou provocar qualquer outro resultado diverso do esperado em sistema de tratamento automático de dados utilizado pelo serviço eleitoral: Pena - reclusão, de três a seis anos, e multa; ANEXO II SUBSTITUTIVO AO PROJETO DE LEI Nº 84, DE 1999 (Do Deputado Luiz Piauhylino) Dispõe sobre os crimes de informática, suas penalidades e outras providências. O Congresso Nacional decreta: CAPÍTULO I DOS PRINCÍPIOS QUE REGULAM A PRESTAÇÃO DE SERVIÇO POR REDES DE COMPUTADORES Art. 1º. O acesso, o processamento e a disseminação de informações através das redes de computadores devem estar a serviço das pessoas naturais e jurídicas, estas no que couber, e da sociedade, respeitados os direitos fundamentais, especialmente os direitos à intimidade e à segurança no acesso às informações veiculadas em rede de computadores. Art. 2º. É livre a estruturação e o funcionamento das redes de computadores e seus serviços, ressalvadas as disposições específicas reguladas em lei. CAPÍTULO II DO USO DE INFORMAÇÕES DISPONÍVEIS EM COMPUTADORES OU REDES DE COMPUTADORES Art. 3º. Para fins desta lei, entende-se por informações privadas aquelas relativas inerentes à pessoa natural ou jurídica identificada ou identificável. Parágrafo Único. É identificável a pessoa cuja individuação não envolva custos ou prazos desarrazoados . Art. 4º.Ninguém será obrigado a fornecer informações próprias ou de terceiros, salvo nos casos previstos em lei. Art. 5º. A coleta, o processamento e a distribuição, com finalidade comercial, de informações privadas ficam sujeitas à prévia autorização da pessoa a que se referem, que poderá ser tornada sem efeito a qualquer momento, assegurado o ressarcimento por dano material ou moral, quando couber. § 1º. A toda pessoa cadastrada dar-se-á conhecimento das informações privadas armazenadas e das respectivas fontes. § 2º. Fica assegurado o direito à retificação de qualquer informação privada incorreta, assim como o de contestação ou explicação sobre dado verdadeiro mas justificável e que esteja sob pendência judicial ou amigável. § 3º. Salvo por disposição legal ou determinação judicial em contrário, nenhuma informação privada será mantida à revelia da pessoa a que se refere ou além do tempo previsto para a sua validade. § 4º. Qualquer pessoa, natural ou jurídica, tem o direito de interpelar o proprietário de rede de computadores ou provedor de serviço para saber se mantém informações a seu respeito e o respectivo teor. Art. 6º. Os serviços de informações ou de acesso a bancos de dados não distribuirão informações privadas referentes, direta ou indiretamente, a origem racial, opinião política, filosófica, religiosa ou de orientação sexual, e de filiação a qualquer entidade, pública ou privada, salvo autorização expressa do interessado. Art. 7º. O acesso de terceiros, não autorizados pelos respectivos interessados, a informações privadas mantidas em redes de computadores dependerá de prévia autorização judicial. CAPÍTULO III DOS CRIMES DE INFORMÁTICA Seção I Dano a dado ou programa de computador Art. 8º. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado ou programa de computador, de forma indevida ou não autorizada: Pena: detenção, de um a três anos e multa. Parágrafo único. Se o crime é cometido: I - contra o interesse da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos; II - com considerável prejuízo material ou moral para a vítima; III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro; IV - com abuso de confiança; V - com o uso indevido de senha ou processo de identificação de terceiro; ou VI - com a utilização de qualquer outro meio fraudulento. Pena: detenção, de dois a quatro anos e multa Seção II - Acesso indevido ou não autorizado Art. 9º. Acessar de forma indevida ou não autorizada, computador ou rede de computadores: Pena: detenção, de seis meses a um ano e multa. § 10. Se o crime é cometido: I - com acesso a computador ou rede de computadores da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos; II - com considerável prejuízo material ou moral para a vítima; III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro; IV - com abuso de confiança; V - com o uso indevido de senha ou processo de identificação de terceiro; ou VI - com a utilização de qualquer outro meio fraudulento. Pena: detenção, de um a dois anos e multa. § 20. Na mesma pena incorre quem obtém ou facilita a obtenção, mantém ou fornece a terceiro qualquer meio de identificação ou acesso a computador ou rede de computadores. Seção III - Alteração de senha ou mecanismo de acesso a Programa de computador ou dados Art. 10. Apagar, destruir ou de qualquer forma inutilizar, senha ou qualquer outro mecanismo de acesso a computador, programa de computador ou dados, de forma indevida ou não autorizada: Pena: detenção, de um a dois anos e multa. Parágrafo único. O autor é punível ainda que permaneça a possibilidade de acesso ao computador, programa de computador ou dados. Seção IV - Obtenção indevida ou não autorizada de dado ou instrução de computador Art. 11. Obter, manter ou fornecer, sem autorização ou indevidamente, dado ou instrução de computador: Pena: detenção, de três meses a um ano e multa. Parágrafo único. Se o crime é cometido: I - com acesso a computador ou rede de computadores da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos; II - com considerável prejuízo material ou moral para a vítima; III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro; IV - com abuso de confiança; V - com o uso indevido de senha ou processo de identificação de terceiro; ou VI - com a utilização de qualquer outro meio fraudulento. Pena: detenção, de um a dois anos e multa Seção V - Violação de segredo armazenado em computador, meio magnético, de natureza magnética, óptica ou similar Art. 12. Obter segredos, de indústria ou comércio, ou informações pessoais armazenadas em computador, rede de computadores, meio eletrônico de natureza magnética, óptica ou similar,de forma indevida ou não autorizada: Pena: detenção, de um a três anos e multa. § 10. Considera-se segredo de indústria um método ou meio especial de fabricação, patenteável ou não que é mantido em sigilo. § 20. Considera-se segredo de comércio todas as informações especiais concernentes ao âmbito dos negócios em geral que devem ser mantidas sob reserva, sob risco de causar prejuízo. § 3O. Aplica-se a pena imposta neste artigo sem prejuízo de outros crimes cometidos pelo autor. Seção VI- Criação, desenvolvimento ou inserção em computador de Dados ou programa de computador com fins nocivos Art. 13. Criar, desenvolver ou inserir, dado ou programa em computador ou rede de computadores, de forma indevida ou não autorizada, com a finalidade de apagar, destruir, inutilizar ou modificar dado ou programa de computador ou de qualquer forma dificultar ou impossibilitar, total ou parcialmente, a utilização de computador ou rede de computadores: Pena: reclusão, de um a quatro anos e multa. Parágrafo único. Se o crime é cometido: I - contra interesse da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos; II - com considerável prejuízo material ou moral para a vítima; III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro; IV - com abuso de confiança; V - com o uso indevido de senha ou processo de identificação de terceiro; ou VI - com a utilização de qualquer outro meio fraudulento. Pena: reclusão, de dois a seis anos e multa. Seção VII - Veiculação de pornografia através de rede de computadores Art. 14. Oferecer serviço ou informação de caráter pornográfico ou de sexo explícito, em rede de computadores, sem exibição prévia, de forma facilmente visível e destacada, aviso sobre sua natureza, indicando o seu conteúdo e a inadequação para criança ou adolescente: Pena: detenção, de um a três anos e multa. Art. 15. Publicar em rede de computadores cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena: reclusão, de dois a seis anos e multa. CAPÍTULO IV DAS DISPOSIÇÕES FINAIS Art. 16. Se qualquer dos crimes previstos nesta lei é praticado no exercício de atividade profissional ou funcional, a pena é aumentada de um sexto até a metade. Art. 17. Os crimes definidos nesta lei somente se procede mediante representação do ofendido, salvo nas hipóteses dos artigos 14 e 15 acima ou se cometidos contra o interesse da União, Estados, Distrito Federal Município, órgão ou entidade da administração direta ou indireta, empresa concessionária de serviços públicos, fundações instituídas ou mantidas pelo poder público, serviços sociais autônomos, instituições financeiras ou empresas que explorem ramo de atividade controlada pelo poder público, casos em que a ação é pública incondicionada. Art. 18.- Esta lei regula os crimes relativos à informática sem prejuízo das demais cominações previstas em outros diplomas legais. Art. 19. Esta lei entra em vigor 30 (trinta) dias a contar da data de sua publicação. Bibliografia BARRA, Estudos jurídicos em homenagem a Manoel Pedro Pimentel. 1º edição. Editora RT. São Paulo. 1992. CORRÊA, Gustavo Testa. Aspectos jurídicos da Internet. 1º edição. Editora Saraiva. São Paulo. 2000. COSTA, Marco Aurélio. Crimes de Informática III - Direito Penal de Informática. Monografia publicada na Internet. Uruguaiana – RS. Sem data. GOUVÊA, Sandra. O Direito na era digital. 1º edição. Editora Mauad. Rio de Janeiro. 1997. JESUS, Damásio Evangelista. Direito Penal. 20º edição. Editora Saraiva. São Paulo. 1998. JÚNIOR, João Marcelo Araújo, Computer Crime: Conferência Internacional de Direito Penal, 1988. Anais. Rio de Janeiro: Procuradoria Geral da Defensoria Pública, 1988. LANGE, Denise Fabiana. O impacto da tecnologia digital sobre o Direito de Autor e conexos. 1º edição. Editora Unisinos. São Leopoldo. 1996. LICKS, Otto Banho e JUNIOR, João Marcelo de Araújo. Aspectos penais dos crimes de informática no Brasil. 1º edição. Editora Revista dos tribunais. Rio Grande do Sul. 1994. LUCCA, Newton de, FILHO, Adalberto Simão. Direito e Internet – Aspectos jurídicos relevantes. 1º edição. Editora Edipro. São Paulo. 2000. MIRABETE, Julio Fabrini. Manual de Direito Penal. 13º edição. Editora Atlas. São Paulo.1998. PIMENTEL, Alexandre Freire. O Direito Cibernético um enfoque teórico e lógico aplicativo. 1º edição. Editora Renovar. Rio de Janeiro. 2000.
Compartilhar