Direito e Novas tecnologias

Prévia do material em texto

DIREITO E NOVAS 
TECNOLOGIAS 
AULA 2 
 
 
 
 
 
 
 
 
 
Prof. Helio Augusto Camargo de Abreu
 
 
CONVERSA INICIAL 
 Nesta aula, trataremos sobre infraestrutura de chaves públicas brasileira, 
o ICP-Brasil, e sobre a criação de Delegacias Especializadas em Crimes 
Cibernéticos (DECC). 
 No estudo da ICP-Brasil, abordaremos sua infraestrutura hierárquica e 
seus principais conceitos de acordo com a instituição da MP n. 2.200-2. Na 
criação de Delegacias Especializadas e Crimes Cibernéticos, explanaremos o 
que tipificam as condutas no uso de sistemas eletrônicos, digitais e similares, 
que regulamentam a prevenção de delitos em rede de computadores nos meios 
de comunicação, prevendo os crimes e suas punições. 
TEMA 1 – COMO FUNCIONA A ICP-BRASIL 
 A Medida Provisória n. 2.200-2, de 24 de agosto de 2001, deu início à 
implantação do Sistema Nacional de Certificação Digital da ICP-Brasil, portanto 
o Brasil possui uma infraestrutura pública, mantida e auditada por um órgão 
público, o Instituto Nacional de Tecnologia da Informação (ITI), autoridade 
máxima do segmento e que tem o papel de credenciar, descredenciar, 
supervisionar e fazer auditorias. Segue regras de funcionamento estabelecidos 
pelo comitê gestor da ICP-Brasil que possui como membros representantes dos 
poderes públicos, sociedade civil organizada e pesquisa acadêmica. 
 O ICP-Brasil é a infraestrutura de chaves públicas brasileira, também 
conhecida no meio informático como PKI (Public Key Infrastructure). A cadeia 
hierárquica da ICP está demonstrada na figura a seguir: 
Figura 1 – Cadeia hierárquica da ICP 
 
 
 
 
3 
Explanaremos a definição da hierarquia, de acordo com as 
regulamentações do ICP-Brasil. 
1.1 Autoridade Certificadora Raiz 
A AC-Raiz é a primeira autoridade da cadeia de certificação. É ela quem 
executa as políticas de certificados e as normas técnicas e operacionais 
aprovadas pelo comitê Gestor da ICP-Brasil. Compete à AC-Raiz emitir, expedir, 
distribuir, revogar e gerenciar os certificados das autoridades certificadoras de 
nível imediatamente subsequente ao seu. 
1.2 AC – Autoridade Certificadora 
As ACs são entidades públicas ou pessoas jurídicas de direito privado 
credenciadas à AC-Raiz e que emitem certificados digitais vinculando pares de 
chaves criptográficas ao respectivo titular nos termos do art. 8 da MP n. 2.200/01. 
Art. 8º Às AC, entidades autorizadas a emitir certificados digitais 
vinculando pares de chaves criptográficas ao respectivo titular, 
compete emitir, expedir, distribuir, revogar e gerenciar os certificados, 
bem como colocar à disposição dos usuários lista de certificados 
revogados e outras informações pertinentes e manter registro de suas 
operações. 
 As Autoridades Certificadoras podem emitir certificados digitais para 
outras ACs, conhecidas como Autoridades Certificadoras de primeiro nível. As 
ACs que recebem os certificados de outras ACs são conhecidas como 
Autoridades Certificadoras de segundo nível. 
 Alguns exemplos de AC Nível 1: Serpro, Caixa Econômica Federal, 
Serasa Experian, Receita Federal do Brasil, Certisign e outros. Vale observar 
que a Lei não impede que entidades não vinculadas à ICP-Brasil estabeleçam 
suas próprias ACs, emitindo certificados próprios, que sigam suas diretrizes de 
segurança e propósitos de uso específico. Também é importante verificar a 
confiabilidade do certificado adquirido. Para isso, deve-se analisar se a AC 
pertence à ICP-Brasil. 
1.3 AR – Autoridade de Registro 
As ARs também podem ser tanto entidades públicas quanto pessoas 
jurídicas de direito privado credenciadas pela AC-Raiz e sempre serão 
 
 
4 
vinculadas operacionalmente a determinada AC. As ARs são as que fazem a 
interface entre o usuário e a Autoridade Certificadora. 
 
Art. 7º Às AR, entidades operacionalmente vinculadas a determinada 
AC, compete identificar e cadastrar usuários na presença destes 
encaminhar solicitações de certificados às AC e manter registros de 
suas operações (Brasil, 2001). 
TEMA 2 – CERTIFICADO DIGITAL 
2.1 Certificado digital 
O certificado digital é disponibilizado como um produto e não um serviço. 
Ele é considerado um produto intangível por ser digital. Não se trata de um 
software que pode ser vendido em caixinha. No procedimento de emissão, são 
verificadas características pessoais de cada pessoa que adquire o certificado. 
 O certificado digital funciona como uma identidade virtual que permite a 
identificação segura e inequívoca do autor de uma mensagem ou transação feita 
em meios eletrônicos. Esse documento eletrônico é gerado e assinado por uma 
terceira parte confiável, uma Autoridade Certificadora (AC), que, seguindo regras 
estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, 
processo, servidor) a um par de chaves criptográficas. 
2.2 Assinatura digital 
Trata-se de um mecanismo que identifica o remetente de determinada 
mensagem eletrônica. 
Na ICP-Brasil, a assinatura digital possui autenticidade, integridade, 
confidencialidade e o não repúdio. Seu autor não poderá, por forças tecnológicas 
e legais, negar que seja responsável pelo seu conteúdo. A assinatura digital fica 
vinculada ao documento eletrônico. Caso seja feita qualquer alteração no 
documento, a assinatura se torna inválida. A técnica permite não só verificar a 
autoria do documento como estabelecer a “imutabilidade lógica” de seu 
conteúdo. Qualquer alteração no documento pode invalidar a assinatura. 
2.3 Suspensão e revogação de certificado 
De acordo com o ICP-Brasil, um certificado de AC de nível imediatamente 
subsequente ao da AC Raiz pode ser revogado a qualquer instante, por 
 
 
5 
solicitação da própria AC titular do certificado ou por decisão motivada da AC 
Raiz, resguardados os princípios do contraditório e da ampla defesa. 
 Um certificado deve obrigatoriamente ser revogado: 
a. Quando constatada emissão imprópria ou defeituosa dele; 
b. Quando for necessária a alteração de qualquer informação constante 
deste; 
c. O caso de dissolução da AC titular do certificado; ou 
d. No caso de comprometimento da chave privada da AC ou da sua mídia 
armazenadora. 
 As principais informações contidas em um Certificado Digital são: chave 
pública do titular, nome, endereço de e-mail, nome da autoridade certificadora, 
número de série do certificado digital, assinatura digital da AC, período de 
validade do certificado. 
TEMA 3 – A RELAÇÃO ENTRE A CERTIFICAÇÃO DIGITAL E A CRIPTOGRAFIA 
 O certificado digital vincula pares de chaves criptográficas ao respectivo 
titular. Para entendermos o que é criptografia, temos que percorrer sua história 
que se iniciou na Grécia, com a combinação de dois radicais: kryptos (escondido) 
e grafo (escrita). A criptografia é utilizada há muito tempo desde gerações 
passadas. A principal razão para usar a criptografia é que ela é vista como um 
meio seguro para manter a informação confidencial. 
 No uso de um sistema de criptografia, tanto o remetente quanto o 
destinatário devem usar o mesmo algoritmo acordado. Existem três tipos de 
algoritmos criptográficos, que veremos a seguir. 
3.1 Criptografia simétrica 
Esse sistema possui um algoritmo e uma chave em que o remetente 
compartilha com o destinatário. A capacidade de ambos manterem em segredo 
a chave secreta determina a força do sistema. Exemplo: a chave pública é letra 
(X)+5, portanto a letra A criptografada fica como F. 
3.2 Criptografia assimétrica 
Este método de criptografia utiliza um par de chaves: 
 
 
6 
a. Chave pública – Distribuída livremente para todos os correspondentes via 
e-mail etc. 
b. Chave privada – Deve ser conhecida apenas pelo seu dono. 
Antes de transmitir a mensagem, ela é cifrada com a chave pública do 
remetente (emissor) para garantir a autenticidade do documento. Após a 
mensagem ser cifrada com a chave pública, só pode ser decifrada pela sua 
chave privada correspondente,e é utilizada para garantir a integridade e a 
confidencialidade. 
3.3 Criptografia de mão única 
Conhecida também como função por partes (hash), pode ser comparada 
a uma mistura de tintas, porque depois que duas cores são misturadas, elas 
formam outra cor e não podem se separar novamente. Esse tipo de algoritmo é 
usado para determinar se um dado foi alterado. A mensagem é convertida em 
valor numérico e, utilizando um algoritmo, o destinatário pode verificar se a 
mensagem tem uma parte correta do valor, e caso a combinação das partes 
estiverem corretas, a mensagem pode ser recuperada e validada. 
TEMA 4 – CRIAÇÃO DE DELEGACIAS ESPECIALIZADAS EM CRIMES 
CIBERNÉTICOS 
 Com a instituição da criação da Delegacia Especializada em Crimes 
Cibernéticos que foi determinada pela Lei n. 12.735/12, o país dispõe de 
recursos para registro de Boletim de Ocorrência para crimes que ocorrem no 
mundo digital e nos meios de comunicação. Ressaltamos que a Lei n. 12.735/12 
altera o Decreto-Lei n. 2.848, de 7 de dezembro de 1940 (Código Penal), o 
Decreto-Lei n. 1.001, de 21 de outubro de 1969 (Código Penal Militar), e a Lei n. 
7.716, de 5 de janeiro de 1989. 
 Embora a Lei preveja alcance para todo território nacional, não são todos 
os estados que já dispõem de uma DECC. Os que já contam com esse suporte 
são: Bahia, Espírito Santo, Maranhão, Mato Grosso, Minas Gerais, Pará, Paraná, 
Pernambuco, Piauí, Rio Grande do Sul, São Paulo (1), São Paulo (2), Sergipe, 
Rio de Janeiro, Tocantins e Distrito Federal. 
 
 
7 
TEMA 5 – TIPIFICAÇÃO DE CONDUTA EM CRIMES INFORMÁTICOS 
 As tipificações são determinadas pelos órgãos da polícia judiciária, por 
meio de equipes especializadas no combate aos mais diversos delitos praticados 
contra sistemas informatizados e similares. 
A Lei n. 12.737/12 trata de assunto sobre a tipificação de crimes e delitos 
informáticos. Ela acrescenta em seu art. 2º dois artigos ao Decreto-Lei n. 2.848, 
de 7 de dezembro de 1940 – Código Penal. Trata-se dos arts. 154-A e 154-B. 
 Essa Lei também é chamada de Lei Carolina Dieckmann, nome escolhido 
por ter a atriz sido vítima de apropriação e divulgação não autorizada de fotos da 
sua intimidade. 
 Acontece que o técnico que recebeu o computador da atriz tentou 
suborná-la solicitando vantagem financeira em troca da não divulgação das 
imagens, fato que deu origem à criação da Lei, procurando penalizar atos ilícitos 
praticados quando da invasão e uso de dispositivos informáticos alheios. 
 Um crime cibernético é caracterizado por invasão de computadores, com 
o objetivo de se apropriar de forma criminosa e sem autorização, de senhas, 
violação de dados, obtenção e divulgação de informações sigilosas. 
 Vamos à letra da Lei para melhor compreendermos esse assunto. 
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à 
rede de computadores, mediante violação indevida de mecanismo de 
segurança e com o fim de obter, adulterar ou destruir dados ou 
informações sem autorização expressa ou tácita do titular do 
dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: 
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa. 
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou 
difunde dispositivo ou programa de computador com o intuito de 
permitir a prática da conduta definida no caput. 
§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta 
prejuízo econômico. 
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações 
eletrônicas privadas, segredos comerciais ou industriais, informações 
sigilosas, assim definidas em lei, ou o controle remoto não autorizado 
do dispositivo invadido: 
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a 
conduta não constitui crime mais grave. 
§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se 
houver divulgação, comercialização ou transmissão a terceiro, a 
qualquer título, dos dados ou informações obtidos. 
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado 
contra: 
I - Presidente da República, governadores e prefeitos; 
II - Presidente do Supremo Tribunal Federal; 
III - Presidente da Câmara dos Deputados, do Senado Federal, de 
Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito 
Federal ou de Câmara Municipal; ou 
 
 
8 
IV - dirigente máximo da administração direta e indireta federal, 
estadual, municipal ou do Distrito Federal.” 
“Ação penal 
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede 
mediante representação, salvo se o crime é cometido contra a 
administração pública direta ou indireta de qualquer dos Poderes da 
União, Estados, Distrito Federal ou Municípios ou contra empresas 
concessionárias de serviços públicos.” 
Art. 3º Os arts. 266 e 298 do Decreto-Lei n. 2.848, de 7 de dezembro 
de 1940 - Código Penal, passam a vigorar com a seguinte redação: 
“Interrupção ou perturbação de serviço telegráfico, telefônico, 
informático, telemático ou de informação de utilidade pública 
Art. 266.. ....................................................................... 
§ 1º Incorre na mesma pena quem interrompe serviço telemático ou de 
informação de utilidade pública, ou impede ou dificulta-lhe o 
restabelecimento. 
§ 2º Aplicam-se as penas em dobro se o crime é cometido por ocasião 
de calamidade pública.” (NR) 
“Falsificação de documento particular 
Art. 298.. ....................................................................... 
Falsificação de cartão 
Parágrafo único. Para fins do disposto no caput, equipara-se a 
documento particular o cartão de crédito ou débito. (NR) (Brasil, 2012) 
 Os dados atuais sobre a atuação da Delegacia Especializada em Crimes 
Cibernéticos apresentam números alarmantes, conforme o quadro abaixo: 
Quadro 1 – Atuação da Delegacia Especializada em Crimes Cibernéticos 
Itens Números 
Denúncias 133.732 
Páginas 49.302 
Páginas removidas 3.081 
Idiomas 9 
Países atribuídos 69 
Continentes 6 
TLD ** 166 
** Todo domínio na internet consiste em alguns nomes separados por 
pontos, e o último desses nomes é o domínio de topo, ou o TLD (Exemplo: 
<www.xxx.com>, <www.xxx.org>). 
 Essas informações são referentes ao ano de 2018, deixando o Brasil em 
5º lugar no ranking de países com maior número de ataques crimes cibernéticos, 
conforme informações da Associação SaferNet Brasil, a qual controla a Central 
Nacional de Denúncias. 
 Crimes contra os direitos humanos e fraudes bancárias apresentaram 
destaque nos números. De acordo com Tozzeto (2010), a Federação Brasileira 
de Bancos (Febraban) divulgou que bancos brasileiros perderam R$ 1,8 bilhão 
 
 
9 
só em 2015. Crimes desta natureza ocorrem desde o roubo de senhas, ataques 
de phishing scam, e “kits boletos” que é exclusividade do Brasil. 
 Podemos reconhecer ataques cibernéticos nas suas mais variadas 
formas. Conhecemos a definição desses tipos de crimes que são praticados nos 
meios informáticos. Alguns deles não chegam a ser especializados, visto que 
ferramentas e kits prontos para ataques podem ser adquiridos na web. Dessa 
forma, entendemos que as vítimas são pessoas que conhecem pouco sobre 
segurança da informação, tornando-se alvos fáceis dos criminosos. 
 Destacamos ainda outros tipos de crimes cibernéticos: pornografia infantil, 
violação de direitos autorais, racismo, ciberterrorismo etc. 
NA PRÁTICA 
 A criação de mecanismos de proteção de dados traz segurança jurídica 
aos usuários que precisam ter seus dados protegidos e a criação das delegacias 
de crimes cibernéticos regionais atende a uma necessidade de se conhecer 
melhor os crimes virtuais, oferecendo serviços de profissionais especializados 
em novas tecnologias para os cidadãos. 
FINALIZANDO 
 Nesta aula, fizemos a explanação sobre a instituição da Infraestrutura de 
Chaves Públicas Brasileira, definida por meio de medida provisória. Destacamos 
os principais conceitos para o entendimento de comoé composta a infraestrutura 
e como é aplicada no Brasil. Foi possível entender sua importância para as 
transações digitais, visto a necessidade de se garantir a autenticidade, 
integridade e confidencialidade destas. Também abordamos o assunto sobre a 
criação das Delegacias Especializadas em Crimes Cibernéticos. 
 
 
 
 
10 
REFERÊNCIAS 
BRASIL. Lei n. 12.737, de 30 de novembro de 2012. Diário Oficial da União, 
Poder Legislativo, Brasília, DF, 3 dez. 2012. 
_____. Medida Provisória n. 2.200, de 27 de julho de 2001. Diário Oficial da 
União, Poder Legislativo, Brasília, DF, 28 jul. 2001. 
TOZETTO, C. Cibercrime faz bancos perderem R$ 1,8 bilhão. O Estado de S. 
Paulo, 21 dez. 2015.