Escolar Documentos
Profissional Documentos
Cultura Documentos
COOPERAÇÃO
INTERNACIONAL E O
COMBATE AOS CIBERCRIMES
2
de Gales (Crime Survey for England and Wales, na Inglaterra e País de Gales).
Essas ferramentas de medição de crimes e pesquisas sobre vitimização variam
de acordo com os tipos de dados de crimes cibernéticos coletados e analisados e
os métodos usados na coleta e análise de dados.
As empresas de segurança cibernética e outras organizações privadas que
se concentram na segurança, risco comercial e/ou análise de ameaças em todo o
mundo publicam relatórios de tendências de crimes cibernéticos e/ou contra a
segurança cibernética com base em incidentes históricos de segurança
cibernética e seus tipos, frequência e impacto. Por exemplo, em 2018, o
ransomware foi identificado como uma tendência de crimes cibernéticos, pela
empresa TrendMicro. Com essa forma de crime cibernético, os sistemas de
computador são infectados com código malicioso (malware) e os dados neles são
disponibilizados como inacessíveis aos seus proprietários e/ou usuários legítimos
até que uma taxa seja paga ao criminoso cibernético. Embora os ataques de
ransomware não sejam novos, o número, a frequência, a intensidade e o alcance
desses ataques aumentaram. Os criminosos desse tipo de cibercrime visavam,
inicialmente, indivíduos e solicitavam deles pequenas somas de dinheiro; depois,
começaram a visar negócios, empresas e organizações e, finalmente, outros
entes, nos setores público e privado, que prestam serviços críticos (por exemplo,
hospitais). Um exemplo desse último é o ataque de ransomware WannaCry, de
2017, que afetou aproximadamente 150 países, incluindo mais de 80
organizações do Serviço Nacional de Saúde (NHS) apenas na Inglaterra,
resultando em quase 20 mil consultas canceladas, 600 cirurgias desmarcadas e
5 hospitais simplesmente desviando ambulâncias, incapazes de lidar com mais
casos de emergência (Hern, 2017). A Avaliação de Ameaças do Crime
Organizado à Internet, do Serviço Europeu de Polícia (Europol), em 2017, também
identificou o ransomware como uma tendência de crimes cibernéticos.
Com o advento de novas tecnologias (por exemplo, internet das coisas,
drones, robôs, carros autônomos), novas tendências de crimes cibernéticos serão
identificadas. Além disso, como revelou a Avaliação de Ameaças do Crime
Organizado à Internet de 2017 do Europol, as medidas de aplicação da lei e de
segurança afetam o cibercrime e as táticas, ferramentas e alvos dos
cibercriminosos (Europol, 2017). Essas medidas, portanto, também influenciarão
e impactarão as tendências futuras do crime cibernético.
3
A ideia por trás da criação de diretrizes internacionais para combater o
cibercrime é facilitar um processo direto para conduzir investigações digitais nas
quais computadores de mais de um país estão envolvidos, além de eliminar os
trechos do mundo em que um cibercriminoso está fora do alcance de leis
nacionais.
No entanto, existem muitos desafios à cooperação internacional para
combater o cibercrime transnacional. A harmonização das leis criminais dos
países envolvidos, a extensão desse tipo de crime, a localização e
responsabilização dos seus autores além-fronteiras, assegurando evidências
eletrônicas de seus crimes para que possam ser levados à justiça e outras
questões e procedimentos jurisdicionais complexos surgem a cada passo.
Em inegável atraso, a preocupação com o tema dos cibercrimes passou a
ser pautada no Brasil apenas nas duas últimas décadas, sendo que até a presente
data a tipificação dos crimes virtuais na legislação brasileira segue insipiente,
bastante tímida em relação à dos Estados Unidos e Europa.
Internacionalmente, a legislação é extensa e complexa, datada de décadas
atrás. Agências regionais e internacionais de aplicação da lei (por exemplo,
Europol e Organização Internacional de Polícia Criminal – Interpol) e organizações
regionais (por exemplo, União Africana e Organização dos Estados Americanos –
OEA) publicam informações sobre tendências de crimes cibernéticos e de
segurança cibernética frequentemente.
Os desafios, limites e complexidades concernentes à cooperação
internacional serão por nós abordados.
5
b. quando violações aconteçam, a empresa precise trabalhar com o provedor
de nuvem para investigar os incidentes, o que pode levar a desafios
técnicos e legais.
6
o estado de direito e os direitos humanos (para obter mais informações
sobre a importância da integridade e da ética, consulte também a série de
módulos da Universidade E4J sobre integridade e ética). As revelações da
Cambridge Analytica legaram a lição de que era preciso prestar atenção
às questões éticas que envolvem a coleta de dados e o seu uso em
plataformas de mídia social. Especificamente, a mídia revelou que a
empresa de dados Cambridge Analytica teria
7
TEMA 4 – O PAPEL DA LEGISLAÇÃO ESPECIAL DE CIBERCRIMES NO DIREITO
INTERNACIONAL
8
As leis substantivas, estudadas em matérias de direito penal material,
referem-se às tipificações penais e responsabilizações pela ausência de
compliance, definindo os direitos e responsabilidades dos sujeitos de direitos,
sejam eles pessoas naturais, sejam jurídicas, públicas e privadas. Os cibercrimes
incluem crimes tradicionais que se utilizam da internet como meio de propagação,
a exemplo dos delitos de fraude, crime organizado, lavagem de dinheiro e furto
(os chamados cibercrimes impróprios, conforme Vianna; Machado, 2003, p. 122);
e dos crimes específicos (denominados cibercrimes próprios, conforme Vianna;
Machado, 2003, p. 122), que possuem como objeto a rede internacional de
computadores e/ou dispositivos eletrônicos, como a invasão de dispositivo
eletrônico (referências a respeito podem ser encontradas nas obras de Wall, 2007;
Maras, 2014, 2016).
Nesse sentido, enquanto alguns países optaram por editar legislação
especial atinente aos cibercrimes, outros emendaram a legislação preexistente
para passar a tipificá-los. Por exemplo, Alemanha, Japão e China alteraram as
disposições relevantes de seu código criminal para combater o cibercrime (Unodc,
2019). Outros países optaram por utilizar leis existentes que foram projetadas para
crimes do mundo real (off-line) para atacar certos crimes cibernéticos e criminosos
cibernéticos. Como outro exemplo, no Iraque, o código civil existente (Código Civil
Iraquiano n. 40/1951) e o código penal (Código Penal Iraquiano n. 111/1969) são
usados para processar crimes comuns (por exemplo, fraude, chantagem,
identidade, roubo) perpetrados via internet e tecnologia digital (Iraque, 1951,
1980).
No Brasil, o Código Penal de 1940 (Decreto-Lei n. 2.848/1940) era e é
utilizado para fazer frente a grande parte dos crimes informáticos, empregando-
se tais figuras para punir crimes comuns cometidos por intermédio da
informática, tendo sofrido alterações para se adaptar ao combate às novas
formas de criminalidade (Brasil, 1940).
Buscando, ainda fazer frente a essa situação, diversos foram os projetos
de lei que possuíam como escopo o combate aos crimes virtuais. Desses que não
prosperaram, destaca-se o Projeto de Lei n. 84/1999, que tramitou durante
impressionantes 13 anos, recebendo substitutivos, alterações e uniões com outros
projetos também em trâmite, no mesmo período (Brasil, 1999). A sua redação
original contava com 18 artigos, nitidamente promovidos por razões populistas e
de urgência, recebendo forte rejeição daqueles que efetivamente possuíam
9
conhecimento da área, que alegavam, em síntese, que a lei propunha inaceitável
vigilantismo que viria a criminalizar o fato de se ser internauta. Como destacam
Jesus e Milagre (2016) em sua obra, o projeto desconfigurou-se a ponto de ser
praticamente impossível reconhecê-lo como o que viria a originar a Lei n.
12.735/2012 (Brasil, 1999, 2012).
Por sua vez, as leis procedimentais são a moldura de aplicação do direito
substantivo, estabelecendo normativas e regramentos processuais como as
determinações quanto às investigações, competência, jurisdição policial, coleta de
provas, procedimento processual. No direito brasileiro, o processo penal é
majoritariamente regulamentado no Código de Processo Penal (Brasil, 1941).
No caso dos cibercrimes, em uma perspectiva internacional, o desafio é
inegável, uma vez que as definições legais são sensivelmente diversas:
regramentos de jurisdições e competências, responsabilidades e limites
investigativos, coletas de provas, relativizações dos direitos fundamentais, entre
outras, podem ser bastante diversas nos diferentes países envolvidos em
determinado fato.
Finalmente, quando falamos de direito preventivo, tratamos da legislação
focada na regulação e mitigação do risco. No contexto do cibercrime, tais
legislações têm como escopo prevenir o cibercrime ou, ao menos, mitigar os
danos resultantes de seu cometimento (Unodc, 2013, p. 55). Algumas legislações
internacionais de proteção de dados (por exemplo, o Regulamento Geral de
Proteção de Dados da União Europeia, de 2016, e a Convenção da União
Africana sobre Segurança Cibernética e Proteção de Dados Pessoais, de
2014) e leis de cibersegurança (por exemplo, a Lei da Ucrânia sobre os
Princípios Básicos de Garantia da Segurança Cibernética, de 2017) foram
projetadas para diminuir os danos materiais causados por violações criminais de
dados privados em caso de crime cibernético e/ou minimizar a vulnerabilidade
privada ao crime cibernético (União Europeia, 2016; Isoc; CUA, 2018; Ucrânia,
2017). Outras leis permitem que os agentes de justiça criminal identifiquem,
investiguem e processem crimes cibernéticos, garantindo que as ferramentas,
medidas e processos necessários estejam em vigor para facilitar essas ações (por
exemplo, a infraestrutura dos provedores de serviços de telecomunicações e
comunicações eletrônicas é tal que permite escutas telefônicas e dados de
preservação, como no Brasil). Nos Estados Unidos, a Lei de Assistência às
Comunicações para a Aplicação da Lei (Calea), de 1994, exigia que os
10
provedores de serviços de telecomunicações e fabricantes de equipamentos
garantissem que seus serviços e produtos permitissem aos órgãos
governamentais autorização legal (por exemplo, com a ordem legal apropriada)
para acessar as comunicações (EUA, 2020).
O Escritório das Nações Unidas sobre Drogas e Crime (Unodc) possui um
“repositório do cibercrime”, parte do sistema intitulado Sherlock Knowledge
Management Portal, com extensa database de leis nacionais de cibercrime e
diversos casos práticos, que nos possibilitam perceber a complexidade e
diversidade da regulamentação mundo afora.
A franca maioria dos países do mundo possui leis nacionais que cobrem o
cibercrime ou algumas de suas facetas (Unodc, 2019). Os paraísos seguros para
crimes cibernéticos são criados em países que não possuem leis de crimes
cibernéticos porque ali uma pessoa não pode ser processada por um crime
cibernético, a menos que seja considerada uma atividade ilícita punível por lei.
Isso foi observado no caso do criador e distribuidor do vírus de computador Love
Bug, um residente das Filipinas, que não pôde ser processado (mesmo que esse
vírus produza consequências econômicas adversas para países de todo o mundo)
porque as Filipinas não possuíam uma lei de crimes cibernéticos no momento do
incidente (Maras, 2014). Esses refúgios seguros para crimes cibernéticos também
podem ser criados se as leis de crimes cibernéticos não forem adequadamente
aplicadas e/ou houver divergência entre as leis nacionais de crimes cibernéticos
(Unodc, 2013, p. 56-60).
A harmonização das disposições substantivas das leis de crimes
cibernéticos não apenas impede os refúgios seguros para ocorrência crimes
cibernéticos, mas também reduz os refúgios de não penalidade de crimes
cibernéticos (Unodc, 2013, p. 60-63). Esses refúgios são criados porque apenas
os atos que atendem ao “limiar de gravidade do crime envolvido, geralmente
expressos com referência à possível penalidade que a ofensa pode atrair”
justificarão o investimento necessário para a cooperação internacional entre os
Estados (Unodc, 2013, p. 61, tradução nossa). A harmonização de disposições
substantivas das leis de crimes cibernéticos ajuda a facilitar a cooperação
internacional e, entre outras coisas, a coleta e o compartilhamento de evidências
globais por meio da cooperação internacional (Unodc, 2013, p. 60-63). Padrões e
11
protocolos processuais abrangentes e precisos sobre evidências digitais e
forenses e a harmonização desses padrões e protocolos podem garantir que as
evidências digitais manipuladas em um país sejam admissíveis em outro país (ou
em outros países).
As leis nacionais contêm disposições que facilitam a cooperação
internacional. Por exemplo, na Jamaica (2010), a Lei de Cibercrimes de 2010 foi
implementada para harmonizar as leis e implementar muitas das disposições
substantivas e processuais da Convenção sobre Cibercrimes – conhecida como
Convenção de Budapeste.
Na Nigéria, a Lei de Crimes Cibernéticos de 2015 exigiu a criação de um
Conselho Consultivo de Crimes Cibernéticos para facilitar a cooperação
internacional em questões de crimes cibernéticos. No Catar, a Lei n. 14/2014, que
promulga a Lei de Prevenção de Crimes Cibernéticos, estabelece poderes de
investigação, regras de evidência e procedimento, cooperação internacional,
assistência jurídica mútua, extradição e obrigações de prestador de serviços, em
questões de cibercrime (Unodc, 2013, p. 55).
A existência de leis nacionais, regionais e internacionais sobre crimes
cibernéticos e a harmonização dessas leis entre os Estados facilita a cooperação
internacional (Unodc, 2013, p. 55). A harmonização e a aplicação das leis
nacionais, regionais e internacionais também eliminam os refúgios seguros contra
crimes cibernéticos (Maras, 2016).
12
REFERÊNCIAS
BILGE, L.; TUDOR, D. Before We Knew It: An Empirical Study of Zero-Day Attacks
in The Real World. In: ACM CONFERENCE ON COMPUTER AND
COMMUNICATIONS SECURITY, 2012, Raleigh. CCS’12: Proceedings of the
2012 ACM Conference on Computer and Communications Security. Raleigh:
ACM, 2012. Disponível em:
<https://users.ece.cmu.edu/~tdumitra/public_documents/bilge12_zero_day.pdf>.
Acesso em: 4 abr. 2020.
BRASIL. Câmara dos Deputados. Projeto de Lei n. 84, de 1999. Dispõe sobre os
crimes cometidos na área de informática, suas penalidades e dá outras
providências. Brasília, 1999. Disponível em:
<https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=B1
C105DE756B2CD624EB5AC3C5ABDC3D.proposicoesWebExterno1?codteor=1
4587&filename=PL+84/1999>. Acesso em: 4 abr. 2020.
13
<https://www.cisco.com/c/pt_br/support/docs/ip/routing-information-protocol-
rip/13788-3.html>. Acesso em: 4 abr. 2020.
EUROPOL – Serviço Europeu de Polícia. The European Union (EU) Serious and
Organized Crime Threat Assessment (Socta) 2017: Crime in the age of
technology. Haia, 2017. Disponível em:
<https://www.europol.europa.eu/sites/default/files/documents/report_
HERN, A. WannaCry, Petya, NotPetya: how ransomware hit the big time in 2017.
The Guardian, 30 Dec. 2017. Disponível em:
<https://www.theguardian.com/technology/2017/dec/30/wannacry-petya-
notpetya-ransomware>. Acesso em: 4 abr. 2020.
IRAQUE. [Código Civil Iraquiano n. 40, de 1951]. Bagdá, 1951. Disponível em:
<http://gjpi.org/wp-content/uploads/2009/01/civilcode1-197.pdf>. Acesso em: 5
abr. 2020.
14
content/uploads/2018/05/AUCPrivacyGuidelines_201809June_Final_Portuguese
.pdf>. Acesso em: 5 abr. 2020.
TIMBERG, C.; DOWSKIN, E.; FUNG, B. Data of 143 million Americans exposed
in hack of credit reporting agency Equifax. The Washington Post, 2017.
15