propostas e projetos

rodrigo pimenta

E INSEGURANA jURDICA
por AlExAnDRE

ATAqUES DE hackers
AThEnIEnSE

A recente onda de ataques de hackers a sites do Governo Federal demanda reflexo quanto s vulnerabilidades do sistema de segurana da informao e, tambm, acerca da aplicabilidade da legislao vigente aos agentes criminosos. Mesmo diante da escassa informao tcnica divulgada pelos responsveis, detalhando os danos causados, ao que parece os ataques visavam, em regra, efetivar uma mudana visual no site, com troca de imagens e registro da marca do hacker que promoveu o evento danoso (pichao virtual website defacement, a qual se caracteriza pela quebra da proteo de segurana); invaso da rede interna das entidades, via acesso no autorizado, e consequente tentativa de furto de informaes sigilosas; e disparo de inmeros acessos simultneos, originados de vrios computadores denominados zumbis, situados em localidades diversas, com o fim de sobrecarregar o sistema at derrub-lo. Esses procedimentos so tambm conhecidos como ataques de negao de servios do tipo DDoS Distributed Denial of Service ou DoS Denial of Service. um equvoco imaginar que se trata do primeiro ataque a sites governamentais. Por isso mesmo, iniciativas de proteo e estratgias para o enfrentamento dos incidentes de

segurana da informao so imprescindveis s entidades que se viram envolvidas no recente episdio. Muito embora alguns experts considerem os ataques recm-ocorridos como de limitado potencial danoso, restou claro que os sites governamentais, ao contrrio do que ocorre no setor bancrio, ainda prescindem de investimentos na rea da segurana da informao para reduzir-se a vulnerabilidade, sobretudo no que tange aos ataques de negao de servios. O combate a esses incidentes consiste no somatrio da percia forense, visando identificar indcios de autoria, com as medidas judiciais cabveis contra o(s) autor(es) do evento danoso. Certo, no entanto, que em se tratando de invases realizadas com o uso de diversos computadores, o exame pericial dever valer-se dos registros eletrnicos, capazes de revelar a origem geogrfica dos ataques, que inclusive podero ter sido simulados pelo uso de recursos tecnolgicos, alm das mensagens publicadas nas contas dos hackers no Twitter. Embora este servio no tenha sede no Brasil, o que o torna, a princpio, inalcanvel por uma ordem judicial para fornecimento de dados cadastrais dos usurios, possvel

14

revista JUrDiCa ConsUlex - ano xv - n 348 - 15 De JUlho/2011

Ainda que se admita que os hackers tenham atacado sites governamentais com o objetivo de expor as vulnerabilidades do sistema de proteo de dados e no para furtar dados sigilosos, inegvel que os ataques concorreram, embora de forma imotivada, para pautar a necessidade de o Congresso Nacional desatar o n poltico que impede a aprovao do projeto de lei que tipifica os crimes cibernticos.

que venha a cooperar com as autoridades brasileiras, conforme previsto em seu Termo de Servio. Certamente, a investigao comandada pela Polcia Federal e alguns rgos militares dever contar com a colaborao de outros pases. Se a investigao apontar para um hacker domiciliado no exterior, haver poucas chances de punio pela lei brasileira, pois inexistem tratados de extradio para casos de crimes cibernticos. Uma vez identificada a autoria, quais seriam as punies cabveis contra os hackers, considerando-se a falta de previso legal das condutas tpicas? Com efeito, o PL n 84/99, em trmite h 12 anos no Congresso Nacional, caracteriza como crime informtico ou virtual os ataques praticados por hackers e crackers, em especial as alteraes de home pages e a utilizao indevida de senhas. Contudo, manifestaes polticas no sentido de que h de se aguardar a remessa de anteprojeto dispondo sobre o Marco Civil da Internet tm inviabilizado a aprovao da referida proposta legislativa, que tipifica como crime, entre outros: (i) acesso no autorizado a sistema informatizado; (ii) obteno, transferncia ou fornecimento no autorizado de dado ou informao; (iii) divulgao ou utilizao indevida de informaes e dados pessoais; (iv) insero ou difuso de cdigo malicioso; (v) interrupo ou perturbao de servio informtico; (vi) falsificao de dados eletrnicos pblicos ou particulares; (vii) estelionato eletrnico; (viii) dano a dado eletrnico alheio; e (ix) atentado contra servios de utilidade pblica. Deixando-se de lado a falta de lei especfica, de se ver que o art. 265 do Cdigo Penal pune com pena de recluso, de 1 [um] a 5 [cinco] anos, e multa, quem atentar contra a segurana ou servio de utilidade pblica. J se a invaso ocasionar danos infraestrutura do site ou rede interna dos sistemas, incidir o agente em crime de dano [CP, art. 163], cuja pena de deteno, de 1 [um] a 6 [seis] meses, ou multa. Sendo constatado ofensas reputao das instituies envolvidas nos ataques, caber pedido de indenizao por danos morais e, se for o caso, materiais ao(s) autor(es) dos prejuzos. Caso as invases tenham possibilitado o acesso dos hackers a dados sigilosos, este resultado poder concorrer para a obteno de vantagens ilcitas, ficando os autores das prticas delituosas sujeitos ao enquadramento nos
arquivo pessoal

seguintes tipos penais: (i) divulgao de segredo [CP art. , 153], cuja pena de deteno, de 1 [um] a 6 [seis] meses, ou multa; (ii) extorso [CP art. 158], com pena de recluso, de 4 , [quatro] a 10 [dez] anos, e multa; e (iii) estelionato (CP, art. 171), que pune o agente com pena de recluso, de 1 [um] a 5 [cinco] anos, e multa. Disso tudo pode-se extrair que os sites governamentais esto mais vulnerveis que os bancos, o que demanda maiores investimentos em segurana da informao; a identificao de autoria pode ser difcil, mas no impossvel; a aplicao da lei brasileira s ser possvel se os hackers identificados tiverem domiclio no Brasil; a legislao vigente suficiente para punir algumas condutas tpicas resultantes dos ataques, mas no o ato propriamente dito. Ainda que se admita que os hackers tenham atacado sites governamentais com o objetivo de expor as vulnerabilidades do sistema de proteo de dados e no para furtar dados sigilosos, inegvel que os ataques concorreram, embora de forma imotivada, para pautar a necessidade de o Congresso Nacional desatar o n poltico que impede a aprovao do projeto de lei que tipifica os crimes cibernticos. certo que o Poder Legislativo tem como tradio acelerar a votao das matrias em trmite a partir de escndalos miditicos, mas, a meu ver, nada justifica o retardamento da aprovao do PL n 84/99 em favor do Marco Civil da Internet, cuja remessa ao Congresso Nacional sequer ocorreu. No discuto a inegvel importncia do Marco Civil, com foco na proteo de dados do cidado. O que preocupa o fato de que, recentemente, o PL n 84/99 teve a redao alterada por fora de acordo poltico (inclusive com a supresso de alguns dispositivos) e, tambm, para adequao da linguagem tecnolgica, o que inviabiliza a insero de novas condutas ilcitas ou alterao da dosimetria das penas j previstas. A insegurana jurdica proporcionada pelo aumento das fraudes eletrnicas impe a aprovao do PL n 84/99 imediatamente aps a realizao da audincia pblica designada para este ms de julho, seguindo-se a devida sano presencial. Ou ser que ainda no se mostram suficientes os estratosfricos prejuzos de 900 milhes de reais (conforme dados da Febraban), originados pelas fraudes eletrnicas, e as humilhaes causadas pelos recentes atentados e pichaes virtuais aos sites governamentais?

ALEXANDRE ATHENIENSE Advogado especialista em Direito de Tecnologia da Informao. Scio de Aristoteles Atheniense Advogados. Coordenador do Curso de Ps-Graduao da ESA-OAB/SP. Editor do blog DNT O Direito e as Novas Tecnologias.

revista JUrDiCa ConsUlex - www.ConsUlex.Com.br

15