DESAFIOS
PARA UM
BRASIL DIGITAL
SEGURO
05/08/2015
Câmara Brasil- Alemanha e
Ministério da Ciência, Tecnologia e
Inovação
PAINEL 2 - DESAFIOS NO BRASIL NO
CIBERESPAÇO
LEONARDO PALAZZI
Direito digital e cibercrime
I - Problematização do tema

Últimos 75 anos: mudanças gigantescas na realidade
da sociedade mundial

Exemplificação da legislação penal:



Década de 40: Código Penal –
COMUM.
CRIMES DE NATUREZA
Década de 80: primeiras alterações na LEGISLAÇÃO
ESPECIAL – crimes contra Sistema Financeiro Nacional
(Lei 7492/86)
Década de 90:
I) continuidade das alterações da LEGISLAÇÃO ESPECIAL
– crimes contra a Ordem Econômica e Sistema
Tributário (Lei 8.137/90), crimes contra o Meio
Ambiente (Lei 9.605/98),
I - Problematização do tema




Cont. década de 90:
II) Lavagem de Dinheiro (Lei 9.613/98): início de
uma nova ótica criminal = RESULTADO DO CRIME.
Anos 2000: Lei “Carolina Dieckmann” (Lei
12.737/12) e Lei Anticorrupção (Lei 12.846/13) =
CIBERCRIMES E PREVENÇÃO.
CRIMINALIDADE MODERNA
Características (Criminologia):
i) alteração dos limites de jurisdição e soberania:
[(...) não há fronteiras demarcadas no ambiente cibernético.
Isso derruba um dos principais pilares do chamado Estado
Moderno.] MEDEIROS, 2002, p. 147.
ii) ataques a novos bens coletivos, difusos e
supra-individuais.
I - Problematização do tema
iii) complexidade estrutural: sofisticação delitual,
extensão dos resultados (potencialidade
lesiva/número indefinido de bens jurídicos),
lucratividade, vitimização difusa, ausência de
autoria delimitada, dificuldade de prova
(materialidade).
iv) acesso ao conhecimento criminoso – inclusão
digital
iv) oportunidade e migração do crime: decorrente
da ausência de controles formais/padrões
normativos (exploração racional da oportunidade).
Confusão do lícito e ilícito. Terreno fértil ao crime
organizado.
v) técnicas de neutralização da culpa: condutas
neutras ou corriqueiras (ausência de violência)
I - Problematização do tema




Internet: ambiente novo e lucrativo, alta
vulnerabilidade e propício para uma nova criminalidade
(Revolução Tecnológica)
“Bandidos do futuro”, hackers e crakers (cultura hacker)
e terrorismo = exploração racional da oportunidade +
forma de difusão de comportamentos abusivos
Problema criminal (1): Realização da prova. Já nessa
esteira, o legislador sinalizou a preocupação como o
tema: Investigação forense digital (Lei 12.735/12).
Trabalho Forensic (guarda e preservação de informações
e documentos).
Problema criminal (2): contexto de crimes da
modernidade: teorias atuais não servem / reflexões
sobre o direito penal, como culpabilidade,
responsabilidade penal da pessoa jurídica, dolo da
omissão, etc.
I.1 - Problematização do tema

Combate a crimes virtuais não é tarefa fácil com um
Código Penal escrito em 1940.

Necessidade de regulamentação do ambiente virtual –
Direito digital.



Terminologia? Crimes Cibernéticos, cybercrimes, crimes
na internet ou digitais, delitos de informática, etc.
Contravenções: jogo do bicho pela internet. Exemplo de
definição: Convenção de Palermo – “crime organizado
transnacional”.
Crimes mais graves: lavagem de dinheiro com aquisição
ou compra de moeda virtual, tráfico de pessoas, tráfico
de drogas, mercado negro de armas, etc;
I.1 - Problematização do tema

Análise da dimensão criminológica e a verificação dos
efeitos na sociedade:

levam à necessidade de estruturação conceitual

Estabelecimento de elementos objetivos à correta
disposição de um controle formal

Crime cibernético como uma atividade “poluidora” do
sistema social.

Violação da expectativa de um ambiente seguro.

Produto da consciência volitiva do agente (cálculo de
custo/risco/oportunidade).

Estamos preparados para uma nova legislação?
I.1 - Problematização do tema

Prevenção situacional:
“A oportunidade pode ser verificada quando convergem em
tempo e espaço alguns elementos destacados pela
criminologia: a presença de um deliquente motivado, um
objeto alcançável, a ausência de um guardião capaz de
prevenir a sua prática ou ausência de um supervisor íntimo
(freio ao potencial deliquente), e por fim, um
comportamento do denominado gestor do espaço ou
pessoas com competência para controlar e vigiar alguns
destes”. (MOLINA, Antonio Garcia-Pablo de. GOMES, Luiz
Flávio Gomes).

Juízo de reprovação ético social (categoria de injusto
penal).

Princípio de proteção de proteção deficiente
I.2 - Problematização do tema




Territorialidade do crime: lugar da prática do crime (Art.
6º, CP: Considera-se praticado o crime no lugar em que
ocorreu a ação ou omissão, no todo ou em parte, bem
como onde se produziu ou deveria produzir-se o
resultado).
Ênfase à lavagem de dinheiro e os acordos
internacionais para repressão ao crime organizado.
Tratados internacionais de assistência mútua: MLAT
(Mutual Legal Assistance Treaty) - Tratado de
Assistência Legal Mútua entre Brasil e Estados Unidos,
dentre outros.
Necessidade de uma cooperação específica, que não
dependa da natureza de crimes econômicos e financeiros
I.2. Necessidade de cooperação
internacional



Tutela de direitos humanos
Cooperação internacional para o combate aos crimes
cibernéticos (auxílio mútuo): necessário acesso a dados
armazenados no exterior, disponibilizados por empresas
multinacionais, etc.
Convenção do Conselho Europeu sobre o Cibercrime –
“Convenção de Budapeste” (2001): “Convictos da
necessidade de prosseguir, com carácter prioritário, uma política
criminal comum, com o objetivo de proteger a sociedade contra a
criminalidade no ciberespaço, designadamente, através da adopção
de legislação adequada e da melhoria da cooperação internacional”.

Regime internacional de combate ao cibercrime:
normativas, não autoaplicável, depende de
regulamentação.
I.3 - Problematização do tema

Primeiro passo para a maioria dos crimes: violação de
informações sigilosas (“phishing” – coleta de
informações mediante envio de e-mails falsos; “vishing”
– obtenção de informações de forma maliciosa junto ao
proprietário; “smishing”; “malwares” – obtenção de
informações via e-mails, SMS; outros.
I.4 - Problematização do tema

Responsabilidade em fraudes bancárias: novos riscos
financeiros aos bancos.



Necessidade de reportar fraudes aos órgãos oficiais
(mesma lógica da lavagem de dinheiro – Lei
9.613/98 – “Pessoas sujeitas aos mecanismos de
controle”, “Da comunicação das operações
financeiras”, “Da responsabilidade Administrativa”).
Direito Civil, Direito do Consumidor e Direito Penal
Cláusulas que transferem a responsabilidade de
segurança ao consumidor/correntista
I.5 - Problematização do tema


Crimes de computador x Crimes no computador:
os
primeiros demandariam a iniciativa do Poder Legislativo para poderem ser
combatidos, sob pena de se ferir o princípio da legalidade, positivado no
art. 5º, XXXIX, CF.
Cuidado com a “cultura da vigilância” e espionagem de
cidadãos (controle massivo) x Liberdade na internet






Expansão do Direito Penal: monitoramento como caminho sem
volta
Atos patriotas contra terrorismo e serviços de informação (EUA,
França): escutas e espionagem eletrônica
Publicidade x confidencialidade e anonimato
Liberdade de informação – art. 220, CF (liberdade informática)
e censura
Atentado a liberdades individuais
A sociedade de sujeitos passivos e a institucionalização da
insegurança x legislação simbólica x perseguição dos agentes
II – Bens jurídicos tutelados
Bens jurídicos (constitucionais) tutelados:













Delitos contra a propriedade (dano, estelionato, furto);
Delitos contra a honra e crimes de ódio e ameaça;
Delitos contra a dignidade sexual;
Delitos contra privacidade e segurança;
Delitos contra criança e adolescente – arts. 239 e ss. Lei 8069/90 – ECA,
com atualizações recentes).
Delitos contra as relações de consumo: Leis 8.078/1990 e 8.137/1991;
Delitos contra o sistema financeiro nacional: Lei 7.492/1986;
Delitos contra a ordem tributária e delitos de contrabando e descaminho:
Lei. 8.137/1991 e CP (art. 334)
Delitos contra o sistema previdenciário: Código Penal (arts. 168-A e 337-A);
Delitos de lavagem de capital: Lei 9.613/1998.
Delitos contra propriedade intelectual: Lei n.º 9.609/98: dispõe sobre a
proteção da propriedade intelectual de programas de computador e sua
comercialização no país, e Lei n.º 9.279/96: concorrência desleal.
Direitos autorais: Lei n.º 9.610/98.
Interceptação telefônica (Lei n.º 9296/96).
II.1 – Crimes em espécie

Alta quantidade de bens jurídicos tutelados

Crimes diários – Casos práticos (crimes contra a honra/lan
houses e direito ao esquecimento, furto internet banking,
scraping/fishing, concorrência desleal, fraude ao direito autoral).





Iniciação priorização de algumas modalidades
Inovação nas soluções: como trazer esses criminosos à
Justiça. Aprender a lidar com o fluxo do cibercrime.
Responsabilização administrativa, civil e penal: o que
temos até o momento não é suficiente?
O que os particulares (pessoas físicas e jurídicas)
esperam do Estado?
Responsabilização do ato danoso depende da legislação:
talvez somente processual (regulamentação,
identificação dos autores e responsabilização das
condutas) e não de novo sistema penal.
III – Crimes em espécie




Necessidade de mapear os crimes, a forma de atuação
dos autores, para posteriormente adotarmos as ações
necessárias, seja mediante a legislação penal ou
processual, seja mediante os esforços práticos.
Ambiente virtual: crime real + ações para
dificultar/inviabilizar as investigações. Ex: lavagem de
dinheiro e dinheiro virtual.
Há necessidade de criminalização?
Marco civil colaborou com alguns princípios e início de
discussão.
IV – Crimes em espécie









Sistema de proteção da internet:
Presidência/Gabinete de Segurança Institucional/Departamento de
Segurança da Informação e Comunicações/Núcleo de Segurança e
Credenciamento
CDCIBER – Ministério da Defesa
Polícia Federal/Unidade de Repressão e Crimes Cibernéticos da
Polícia Federal/Projeto Oráculo e Tentáculos. Ex. Operação
Tentáculos
Polícia Civil – Delegacias Especializadas (Lei n.º 12.735/2012)
Ministério Público Federal – Grupo de Combate a Crimes
Cibernéticos
Justiça Federal e Estadual
CERT – Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil (do Cômite Gestor da Internet no Brasil) –
Notificações de Incidentes / CSIRT – Computer Security Incident
Response Team / Grupo de Resposta a Incidentes de Segurança
ONGs
V – Questões de alta gravidade






Problema da territorialidade do crime
Arts. 5º ao 7º do Código Penal (princípios da
territorialidade e ubiquidade).
Crimes praticados contra bancos, energia, comunicação,
transportes, sistema financeiro, direitos humanos
Limites de soberania dos Estados e a criminalidade
transnacional
Competência para processo e julgamento
Elaboração de um Estatuto Internacional com crimes,
pena, etc.?
III. Código Penal




Lei 12.737/2012.
“Art. 154-A.
Invadir dispositivo informático alheio,
conectado ou não à rede de computadores, mediante
violação indevida de mecanismo de segurança e com o
fim de obter, adulterar ou destruir dados ou informações
sem autorização expressa ou tácita do titular do
dispositivo ou instalar vulnerabilidades para obter
vantagem ilícita: Pena - detenção, de 3 (três) meses a 1
(um) ano, e multa.
§ 1o Na mesma pena incorre quem produz, oferece,
distribui, vende ou difunde dispositivo ou programa de
computador com o intuito de permitir a prática da
conduta definida no caput.
Prejuízo econômico: aumento de pena 1/6 a 1/3 (§2º)
III.1. Código Penal




§ 3o Se da invasão resultar a obtenção de conteúdo de
comunicações eletrônicas privadas, segredos comerciais
ou industriais, informações sigilosas, assim definidas em
lei, ou o controle remoto não autorizado do dispositivo
invadido: Pena - reclusão, de 6 (seis) meses a 2 (dois)
anos, e multa, se a conduta não constitui crime mais
grave.
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a
dois terços se houver divulgação, comercialização ou
transmissão a terceiro, a qualquer título, dos dados ou
informações obtidos.
Aumento de pena de 1/3 a ½ para crimes praticados
contra agentes e órgãos públicos (§5º).
Ação penal: representação, exceto §5º.
III. 2. Código Penal





Interrupção ou perturbação de serviço
telegráfico, telefônico, informático, telemático ou
de informação de utilidade pública
Art. 266 - Interromper ou perturbar serviço telegráfico,
radiotelegráfico ou telefônico, impedir ou dificultar-lhe o
restabelecimento: Pena - detenção, de um a três anos, e
multa.
§ 1o Incorre na mesma pena quem interrompe serviço
telemático ou de informação de utilidade pública, ou
impede ou dificulta-lhe o restabelecimento.
§ 2o Aplicam-se as penas em dobro se o crime é
cometido por ocasião de calamidade pública.
III. 3. Código Penal



Falsificação de documento particular
Art. 298 - Falsificar, no todo ou em parte, documento
particular ou alterar documento particular verdadeiro:
Pena - reclusão, de um a cinco anos, e multa.
Falsificação de cartão: Parágrafo único. Para fins do
disposto no caput, equipara-se a documento particular
o cartão de crédito ou débito.
IV - Fiscalização das informações em
ambiente virtual


Caso provedores de internet, salas de “bate-papo”, etc. - Solução:
TERMO DE COMPROMISSO DE INTEGRAÇÃO OPERACIONAL (NOV. 2005) / EMPRESAS,
ABRANET E COMITÊ GESTOR DA INTERNET:



Necessidade de integrar as partes signatárias na aplicação da legislação
referente ao tema;
Finalidade unir os esforços para prevenir e combater pornografia infantil, a
prática de racismo e outras formas de discriminação, e outros atos
gravosos instrumentalizados via internet;
MEDIDAS:






Manter informações pertinentes como prevenção de crimes e fazer
chamadas periódicas, inclusive mediante pop ups e termos de aceitação;
Orientar uso consciente;
Manter links para denúncias imediatas;
Informar imediatamente o Ministério Público Federal;
Preservar e armazenar, pelo mínimo de 6 meses ou prazo superior que
venha a ser estabelecido pela legislação, o registro de logs e ou Ips dos
usuários;
Exigir que os novos usuários informem número de algum documento
validável de identificação (RG ou CPF);
IV.1 - Fiscalização das informações em
ambiente virtual





Monitoramento
Estabelecimento de novos compromissos: preservação das provas com print
screen automático, estabelecimento conjunto de lista de palavras
normalmente relacionadas aos crimes, controle quanto a criação de
páginas, salas, etc.
Fonte: Safernet e Senado (ref. CPI Pedofilia)
Registros como principal meio para investigações e prevenção de práticas
criminosas dessa natureza
Estímulo de boas práticas
Lei de Acesso à Informação (LAI) – Lei n.º
12527/2011








Lei de Acesso à Informação (LAI) – Lei n.º 12527/2011
Cidadania: acesso à informação pública (informar os
cidadãos sobre diretos e estabelecer acesso à
informação).
Participação ativa no processo democrático (acompanhar
e avaliar a implementação de políticas públicas e
fiscalizar a aplicação do dinheiro público).
Prevenção da corrupção;
Respeito aos direitos fundamentais;
Fortalecimento da democracia;
Melhoria da gestão pública;
Melhoria do processo decisório;
Lei de Acesso à Informação (LAI) – Lei n.º
12527/2011




Constituição:
Art. 5º. XXXIII - todos têm direito a receber dos órgãos públicos informações
de seu interesse particular, ou de interesse coletivo ou geral, que serão
prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas
cujo sigilo seja imprescindível à segurança da sociedade e do Estado;
Art. 37. A administração pública direta e indireta de qualquer dos Poderes da
União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos
princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência e,
também, ao seguinte: § 3º A lei disciplinará as formas de participação do
usuário na administração pública direta e indireta, regulando especialmente: II
- o acesso dos usuários a registros administrativos e a informações sobre atos
de governo, observado o disposto no art. 5º, X e XXXIII;
Art. 216. Constituem patrimônio cultural brasileiro os bens de natureza material
e imaterial, tomados individualmente ou em conjunto, portadores de referência
à identidade, à ação, à memória dos diferentes grupos formadores da sociedade
brasileira, nos quais se incluem: § 2º Cabem à administração pública, na forma
da lei, a gestão da documentação governamental e as providências para
franquear sua consulta a quantos dela necessitem.
Lei de Acesso à Informação (LAI) – Lei n.º
12527/2011









Princípios (Art. 3º):
Máxima Divulgação;
Obrigação de Publicar;
Promoção de um Governo Aberto;
Limitação das Exceções;
Procedimentos que Facilitem o Acesso;
Fomento ao desenvolvimento da cultura e transparência;
Moderação dos Custo
Proteção da informação, garantindo-se sua
disponibilidade, autenticidade e integridade; e proteção
da informação.
Marco Civil da Internet
(Lei 12.965/14)



Valiosa iniciativa de proteção ao ambiente digital, porém
com expectativa não correspondida (não é eficaz para
combate a crimes virtuais x amplo território para prática
de crimes).
Objetivo não alcançado: resposta para os crimes
praticados na internet
Principais aspectos da Lei: i) fundamento, princípios e
objetivos, ii) conceitos básicos e neutralidade da rede,
iii) inviolabilidades (intimidade, privacidade, etc.) e
proteção aos dados e registros dos usuários, iv) modelo
de negócios (exploração econômica na internet e
delimitação da responsabilidade dos provedores de
conexão e de aplicação).
Marco Civil da Internet
(Lei 12.965/14)








Preservação dos dados de conexão e aplicação: informações
indispensáveis à investigação
Autoria do delito e nexo de causalidade
Data do fato à instauração de inquérito policial: média de 452
dias
Instauração do inquérito policial ao término da investigação:
média de 214 dias.
Eficácia da norma: 1 (um) ano e 6 (seis) meses,
respectivamente. Todos potenciais criminosos? Não deveria
haver requisição apenas a posteriori ? Criminosos de verdade
não usam dados comuns.
CTN – 5 anos.
Volatilidade das provas
Guarda cautelar por prazo superior (Arts. 13 e 15, §s 2º):
dependência da vítima.
Papel do provedor de acesso e
do provedor de aplicações









Responsabilidade dos provedores: LIMITADA
Provedores de conexão: NÃO será responsabilizado civilmente por
danos decorrentes de conteúdo gerado por terceiros (Art. 18)
Provedores de aplicações: APENAS se após ordem judicial específica
não tomar providências para tornar indisponível o conteúdo (Art.
19)
Assegurar liberdade de expressão e impedir censura
Responsabilidade de sites e blogs? Censura? Vedação à liberdade de
informação e expressão?
Cuidado com a velocidade de reprodução na internet (provedor
pode não conseguir retirar / volume de dados)
Comunicar usuário, salvo ordem contrária
Comunicar motivo da retirada no local
Responsabilidade subsidiária – violação da intimidade - Nudez
Papel do provedor de acesso e
do provedor de aplicações





Crimes de omissão – qual a relevância da omissão: devia
e podia agir – art. 13, CP: responsabilidade decorrente
da lei, contrato ou comportamento anterior.
V. Lei Estado SP 12.228/06 – “Lan house”, “ciber café” –
também é provedor de acesso. Registros mantidos pelo
mínimo de 60 (sessenta) meses.
Art. 29, CP.
Liame subjetivo – ausência, pois não há efetiva
ciência/colaboração, desde que não tenha sido
conformado para a prática criminosa.
Responsabilidade administrativa e civil ou também
penal?
Papel do provedor de acesso e
do provedor de aplicações






Requisição judicial dos registros: parte processual mais
importante da Lei (Art. 22).
Prova em processo judicial civil ou criminal
Em caráter incidental ou autônomo
Requerer ao responsável pela guarda o fornecimento
dos registros de conexão ou de acesso a aplicações na
internet
Requisitos: fundados indícios, justificativa de utilidade,
período (NECESSIDADE e ADEQUAÇÃO) (Art. 22. § ún.).
Garantia do sigilo (Art. 23).
Papel do provedor de acesso e
do provedor de aplicações

Jurisprudência atual:
“Aplicando-se as referidas diretrizes ao caso
concreto, tem-se que, de fato, não cabe ao FACEBOOK exercer o controle
ou monitoramento prévio sobre o conteúdo publicado por seus usuários,
competindo-lhe, apenas, cumprir eventuais determinações judiciais para
excluir publicações declaradas ofensivas ou para fornecer dados capazes de
identificar o ofensor para futuras responsabilizações. Na verdade o
FACEBOOK, na qualidade de mero provedor de conteúdo, possui o dever de
propiciar meios adequados para a identificação dos seus usuários,
exatamente para coibir o anonimato e possibilitar responsabilizações.
Também é dever do mesmo provedor a tomada de todas as medidas para,
uma vez cientificado da ilicitude do conteúdo ofensivo pela autoridade
judicial, agir de forma imediata e enérgica para a retirada do material, sob
pena de atrair para si a responsabilidade pelo eventual dano causado ao
ofendido, diante de sua omissão” (TJES – 4ª Vara Cível de Serra/ES – Ação
de obrigação de fazer n.º 000674817.2014.8.08.0048, j. 30/07/2015)
Papel do provedor de acesso e
do provedor de aplicações






TudoSobreTodos.se (Top Documents LLC.)
Disponibilização de dados pessoais mediante pagamento
Divulgação de informações estritamente pessoais, sem
prévia consulta e consentimento de seus titulares
Inviolabilidade da intimidade, vida privada e dos dados
pessoais.
30/07/2015 - Decisão Justiça Federal RN – Ação cautelar
preparatória 0805175-58.2015.4.05.8400 – 1ª Vara
Federal Natal/RN.
Site ainda no ar.
Direito ao esquecimento



Direito a ser esquecido
“Apagamento” de dados
Qual a responsabilidade pelo
descumprimento?
Compliance




Preocupação dos provedores (Programa de compliance,
vazamento de informações e investigação interna,
criação de canal de denúncias, preservação dos dados e
documentos nos termos da lei, análise ética na
contratação de funcionários e treinamentos, medidas de
remediação, estabelecimento de políticas internas).
Preocupação das corporações em geral (Tecnologia
como antivírus, firewall, treinamento a seus funcionários,
políticas internas de uso de equipamentos de informática
Conscientização, educação e normas internas
Mecanismos e procedimentos internos de integridade,
auditoria e incentivo à denúncia de irregularidades e a
aplicação efetiva de códigos de ética e de conduta no
âmbito da pessoa jurídica (analogia art. 7º, VIII, Lei
12.846/13). Poderia ter sido tratado no Marco Civil.
Autodefesa X Modelo de segurança e controle da
criminalidade das ameaças virtuais







Segurança da informação
Riscos de violação não jurídicos?
Uso inadequado de sistemas?
Criação de um modelo de segurança, inclusive com
medidas criminais?
Dados e informações sensíveis e outros ativos
intangíveis da companhia são tão ou mais valiosos que
os ativos fixos da corporação.
Uso inadequado
Ambiente de negócios/fraudes/internet?
DESAFIOS DO BRASIL NO
CIBERESPAÇO

CPI dos crimes cibernéticos

Requerimento de instituição de CPI nº. 10/2015

Data da apresentação: 26/02/2015

Data da criação: 17/07/2015

Prazo de 120 dias, prorrogável por até a metade.

“Finalidade de investigar os crimes cibernéticos e seus
efeitos deletérios perante a economia e a sociedade
neste país”;
Leonardo Palazzi
[email protected]