REGISTRO DOI: 10.69849/revistaft/pa10202509112152
Luís Fernando Agostinho2
Letícia Lourenço Sangaleto Terron3
RESUMO
Este artigo leciona o quanto a tecnologia da informação revolucionou a interação social e econômica nas últimas décadas, devido a grande quantidade de dados que são transferidos e armazenados em um ambiente virtual, o Direito necessita acompanhar essas mudanças e regular e enfrentar as condutas ilícitas que surgem. A pesquisa será pautada na esfera penal, destacando a letargia e negligência do legislador no combate às infrações cibernéticas, em especial, aos ataques de Ransomware. Ademais, os tribunais têm usado uma analogia que não condiz exatamente com as características danosas desse tipo de crime virtual. Diante disso, o presente trabalho visa discutir a adequada tipificação desse delito na legislação brasileira, e também comparar com a de alguns países desenvolvidos e apresentar modelos de enfrentamento para tal conduta. Para tanto, utilizou-se a método dedutivo de pesquisa bibliográfica, na legislação vigente, em artigos científicos e sites, no qual foi possível notar que esse ataque digital é um grande desafio global e necessita da colaboração mútua entre os países com o objetivo de tornar mais eficaz as investigações. O estudo evidencia a impunidade provocada pelas lacunas legais que estão incentivando o aumento desse delito, altamente lesivo, e alcança todos os estratos; particular, institucional e governamental. Ao final, o artigo expõe a urgente necessidade da criação de uma norma proporcional à gravidade desse crime, e a adoção de medidas investigativas mais eficientes a fim de coibir a ação dos criminosos.
Palavras Chave: Crimes cibernéticos. Ransomware. Legislação Penal.
ABSTRACT
This article looks at how information technology has revolutionized social and economic interaction in recent decades. Due to the large amount of data that is transferred and stored in a virtual environment, the law needs to keep up with these changes and regulate and tackle the illegal conduct that arises. The research will be based on the criminal sphere, highlighting the legislator’s lethargy and negligence in combating cyber infractions, especially Ransomware attacks. In addition, the courts have used an analogy that does not exactly match the damaging characteristics of this type of virtual crime. In view of this, this paper aims to discuss the appropriate classification of this crime in Brazilian legislation, and also to compare it with that of some developed countries and present models for dealing with such conduct. To this end, the methodology used was bibliographical research, in current legislation, scientific articles and websites, in which it was possible to note that this digital attack is a major global challenge and requires mutual collaboration between countries in order to make investigations more effective. The study highlights the impunity caused by legal loopholes that are encouraging an increase in this highly damaging crime, which reaches all levels: private, institutional and governmental. In the end, the article exposes the urgent need to create a law that is proportionate to the seriousness of this crime, and to adopt more efficient investigative measures in order to curb the actions of criminals.
Key Words: Cybercrime. Ransomware. Criminal legislation.
1.INTRODUÇÃO
As leis, desde o início da civilização, tinham por objetivo reger o convívio social, é notório que elas estão sendo constantemente reformadas com o intuito de acompanhar as mudanças que a nova configuração social culminou, introduzindo no meio jurídico novas relações baseadas na virtualização informações.
A tecnologia da informação (T.I), atualmente é uma ferramenta sólida indispensável para o trabalho e entretenimento de milhares de pessoas que fazem uso de seus dispositivos, trocando informações e alimentando dados na rede. Contudo, a grande maioria das pessoas entram nesse ambiente sem o mínimo de conhecimento técnico e utilizam, ingenuamente, seus computadores, tablets, celulares ou quaisquer dispositivos dotados de conexão com a rede mundial de computadores (I.O.T).4
Nesse contexto, aproveitando-se da quantidade de informações e da vulnerabilidade dos usuários e até mesmos dos sistemas, os criminosos empregam técnicas de programação para criar softwares de invasão dos dispositivos, e usam a engenharia social com a finalidade de ludibriar e atrair as vítimas.
A partir disso, faz-se necessário expor como os crimes se manifestam na internet e apresentar os meios em que os crackers5 elaboram os softwares maliciosos e os endereçam para suas vítimas, em especial, o ramsonware cuja infecciosidade e potencialidade de dano distingue-se de outros tipos de vírus. Apresentando também, qual a solução disponível na legislação, tanto no território brasileiro, como em outros países, e se sua aplicabilidade realmente surte algum efeito repressivo.
Para apresentar os resultados do estudo, a pesquisa explicativa baseou-se em bibliografias históricas e documentais, a fim de apontar as soluções possíveis para corrigir as lacunas da atual legislação, seja na tipificação genérica dos crimes cibernéticos, nos métodos de investigação e, principalmente na aplicabilidade de pena.
2. GATILHOS PARA OS CRIMES CIBERNÉTICOS
A grande facilidade de acesso a informações através de dispositivos conectados à internet, combinada com sensação de impunidade que o “anonimato” proporcionado aos usuários de serviços de e-mail, plataformas de redes sociais entre outras ferramentas de troca de entretenimento da internet, cativam muitos indivíduos para a prática de crimes no ambiente virtual. Contudo é importante distinguir a díade em que os crimes se manifestam. Os crimes puros ou próprios têm sua atuação restringida ao equipamento informático, ou seja, os malwares6 atuam nas vulnerabilidades dos Sistemas Operacionais, softwares7, hardwares8 ou proporcionadas pelos próprios usuários. E sua prática e consumação do fato dão-se de forma puramente virtual, objetivando o prejuízo patrimonial, moral ou psicológico da vítima. Tal crime pode ser exemplificado no malware do tipo ransomware, assunto que será tratado em capítulo específico, porém, traz em sua essência um crime próprio. Termo que é explicado por Damásio:
Crimes informáticos próprios: em que o bem jurídico ofendido é a tecnologia da informação em si. Para estes delitos, a legislação penal era lacunosa, sendo que, diante do princípio da reserva penal, muitas práticas não poderiam ser adequadas criminalmente. (Damásio, 2016, p.86).
Já os crimes impuros ou impróprios têm por característica a utilização da internet como um meio para potencializar o cometimento de um delito. Esta conduta pode ser observada no crime de stalking9 no qual o indivíduo que persegue a sua vítima por qualquer motivo, se vale do ambiente virtual para complementar a perseguição, culminando em cyberstalking. Tal conduta só foi tipificada no Código Penal através da Lei nº 14. 132/2021, que incluiu o artigo nº 147-A no qual dispõe sobre a perseguição reiterada independente do meio utilizado pelo criminoso.
Sob a ótica dos crimes próprios, é possível identificar que a principal brecha para os ataques digitais ainda continua sendo a ingenuidade e falta de conhecimento técnico dos usuários dos dispositivos ligados à internet, até mesmo operando sistemas atualizados e relativamente seguros, com infraestrutura adequada e softwares de antivírus instalado para monitorar anomalias, pois ao clicar para abrir um arquivo ou um programa malicioso eles permitem que o código de execução oculto seja liberado, a partir daí dependendo do tipo de malware, o antivírus pode não ser capaz de identificar ou inibir que o comando grave informações na máquina, autorizando assim, a contaminação do aparelho.
Dentre os tipos de malwares em circulação pela internet, o ransomware merece destaque pelo seu potencial lesivo. Seu nome deriva da união das palavras ransom10 e malware, e seu objetivo é criptografar os arquivos de um sistema e exigir um resgate para restaurar o acesso aos dados. Em outras palavras, ele sequestra os arquivos do usuário ou de uma organização e os mantém como reféns até que o resgate seja pago. O ransomware geralmente entra em um sistema por meio de anexos de e-mail maliciosos, downloads infectados, sites comprometidos ou vulnerabilidades em sistemas e aplicativos desatualizados. Uma vez que o ransomware é executado no sistema, ele começa a criptografar os arquivos, tornando-os inacessíveis ao usuário legítimo. Além disso, o malware possui alta capacidade de transmissão, pois se manifesta por toda a rede em que o dispositivo infectado está conectado, potencializando a captação de dados sequestrados. Ademais, sua atuação nos sistemas operacionais dá-se em formas diferentes, como leciona Araújo (2019, p.70)
Este vírus faz parte de uma classe específica de malwares que é utilizada nas chamadas extorsões digitais, pois obriga suas vítimas a pagarem determinado valor em troca do completo controle de seus dados. Essencialmente, existem duas classes: a Locker, que impede que a vítima acesse o equipamento infectado, praticamente inutilizando-o, e a Crypto, que bloqueia o acesso aos dados armazenados no equipamento infectado, utilizando criptografia.
Um aspecto de grande relevância que deve ser destacado é a infinidade de variantes desse malware, visto que, através da Deep Web11, qualquer pessoa com conhecimento básico em informática e desejo de disseminar esse vírus é capaz que criar a sua própria versão, pois nessa janela da internet são disponibilizados manuais de passo a passo para isso. Logicamente que os hackers também trocam conhecimentos específicos de alta complexidade, atualizando e aperfeiçoando cada vez mais os malwares, com o objetivo de sempre lançar novas vertentes de difícil reconhecimento pelo banco de dados dos antivírus.
A disseminação é feita através do meio digital, mas a origem da contaminação se dá pela falha humana, usuários incautos são enganados por conteúdos aparentemente legítimos, ou seja, um boleto recebido por e-mail, uma propaganda bem atrativa que leva para outro site ou também pela instalação de programas pirateados, todas essas situações são conhecidas como iscas para que a vítima jamais desconfie que possa estar colocando em risco seus arquivos digitais de valor inestimáveis.
Após o ataque, o usuário percebe que não consegue mais abrir seus arquivos, e também nota que em cada diretório do seu sistema existe uma imagem explicando que ela foi vítima do ataque, e que se quiser reaver seus arquivos deverá pagar um resgate em criptomoedas. Nesse momento o fator emocional é preponderante para a eficácia do crime, existe casos de extorsão tripla, a vítima perde o controle de seus dados, é noticiada que estes podem ser divulgados na internet e por fim, em posse das informações, os criminosos dizem que irão utilizá-las para atacar os familiares, clientes e quaisquer outros contatos encontrados no dispositivo da vítima.
Diante disso, o usuário ou organização, vitimada pelo malware, em pânico, recebe instruções de como proceder com o pagamento do resgate para obter a chave a fim de recuperar seus arquivos. Apesar do índice de recuperação dos dados ser relativamente alta, 71% (Proofpoint, 2022), não é recomendado o pagamento do resgate, visto que não existem garantias de que os arquivos serão restaurados uma vez que os criminosos se utilizam de serviços como Onion Mail12 e carteiras de criptomoedas, para dificultar a rastreabilidade das comunicações e transações.
As rotinas de backup dentro das operações de tecnologia da informação são medidas de prevenção bem úteis para que em caso de prejuízos provindos de ataques de softwares maliciosos, uma empresa por exemplo, não fique paralisada, e não sucumba a extorsão dos criminosos. Entretanto são poucas instituições preparadas tecnicamente que tomam essas precauções. A falta de conhecimento especializado na área de informática ou até mesmo a falta de recursos financeiros para o investimento em equipamentos e profissionais para gerenciar a infraestrutura corporativa. É importante ressaltar que essas são recomendações preventivas ligadas a área de sistemas de informação e engenharia de redes de computadores, ou seja, existem poucas recomendações normativas que tratam de parâmetros técnicos e requisitos a serem observados para que as instituições estejam de acordo com os padrões de segurança online.
4. INICIATIAVAS DO ESTADO PARA PROMOVER A SEGURANÇA DIGITAL
A internet no Brasil se popularizou a partir da segunda metade dos anos 90, no entanto, houve uma lacuna de 24 anos no judiciário brasileiro, no tocante a uma lei específica, para lidar com o referido tema. A Lei 12.965/2014 conhecida como Marco Civil da Internet, é a tentativa de regulamentação dos meios digitais e trata de estabelecer princípios, garantias, direitos e deveres para o uso da internet no Brasil.
Nesse sentido, a preocupação com a regulação e proteção dos dados continuou avançando com a implementação da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral da Proteção de Dados, na qual dispôs como deve ser manejado os dados pessoais, das pessoas naturais, pessoas jurídicas de direito privado e pessoas jurídicas de direito público. Dada a importância, além da lei específica, a Emenda Constitucional nº 155, de 2022 incluiu a proteção de dados pessoais, inclusive em meios digitais, especificamente, no inciso LXXIX, no rol de direitos e garantias fundamentais elencados no art. 5º, da Constituição Federal.
No entanto, a legislação brasileira ainda esboça passos tímidos pra lidar com os possíveis desdobramentos desse tipo de delito, pois essas normas, apesar de garantir princípios de integridade, privacidade e proteção contra possíveis vazamentos de informações particulares de indivíduos e empresas, na prática, ainda não estabeleceram métodos eficazes de controle, fiscalização e punição dos infratores. Esse entrave é vivido na maioria dos países, inclusive os desenvolvidos como os EUA, Inglaterra e França, que têm sofrido com um grande crescimento exponencial desse tipo de ataque. Segundo levantamento realizado pela empresa de segurança Trend Micro (2022, não paginado) “O Brasil ocupava o 2 º lugar no ranking de ataques cibernéticos no mundo, atrás apenas da Índia”.
A principal Lei que visa tipificar crimes virtuais, e vem sendo aplicada para o ransomware, é a Lei nº12.737 de 2012, também conhecida como Lei Carolina Dieckmann, que inseriu no Código Penal, o artigo 154-A. É importante frisar que as penas do referido artigo foram alteradas com a promulgação da Lei nº 14.155/2021, visando tornar a violação de dispositivo informático um crime com potencial mais gravoso, passando a prever pena de 1 (um) a 4 (quatro) anos e multa. E também em seu § 2º, considerar-se-á o aumento de pena de 1/3 a 2/3 caso haja prejuízo econômico.
A Lei nº13.709/2018 – Lei Geral de Proteção de Dados (LGPD): é uma legislação que estabelece regras de tratamento de dados pessoais por organizações públicas e privadas.
Apesar de não tratar exatamente do ransomware, define conceitos e sujeitos importantes sobre dados, cria responsabilização e obrigação de segurança de organizações mantenedoras de dados e cria a Autoridade Nacional de Proteção de Dados (ANPD) para fiscalização e auxílio em tratamento de dados de forma mais segura no país.
Entretanto, além da invasão de dispositivo informático ser uma das características do ransomware, através de modus operandi, este, compatibilizar-se-ia com outros crimes presentes na legislação penal, visto que sua finalidade se destina em extorquir mediante sequestro. Acerca do vocábulo sequestro, o Diploma Penal dispõe sobre o crime no art. 159, do Código Penal. Ainda que este dispositivo trate sobre a detenção ilegal, o tal, não é compatível com a conduta criminosa em pauta, visto que o elemento do tipo “pessoa” não está presente no crime.
Já o crime de extorsão, art. 158, do Código Penal, vem sendo adotado em alguns julgados13, em concurso formal com a invasão de dispositivo informático, art. 154-A. Embora sua conceituação não esteja estritamente aplicável ao crime, uma vez que não explicita o caráter de tutela de patrimônio imaterial, conflitando, assim, com o princípio da taxatividade, no qual dispõe sobre precisão dos tipos penais.
Nesse contexto, a legislação atual ainda não é assertiva para lidar com as características desse tipo de delito penal. Outro grande entrave para o sistema judiciário é a dificuldade de se investigar tanto os agentes praticantes dos delitos como rastrear os pagamentos (uma vez que os pagamentos são efetuados em criptomoedas). Existem várias técnicas de camuflar essas ações, a principal delas é o uso da VPN (Rede Virtual Privada), de forma resumida, o criminoso pode simular que está usando um provedor de acesso à internet no Brasil, no entanto, ele está localizado em outro país, por exemplo a Rússia, e de lá pode invadir vários outros computadores de outros países, utilizando-os para criar novas ramificações dessas VPNs, a partir dessa concatenação de redes virtuais e computadores o agente pode disseminar o ataque, tornando assim muito difícil o rastreio do dispositivo em que se originou o ataque.
E é em decorrência dessa anonimidade das criptomoedas e/ou bitcoins, por meio da utilização de pseudônimos na realização das transações, que têm sido cada vez mais utilizadas como meio de pagamento do resgate nos crimes de “sequestro de dados”, visto que o pagamento e a titularidade do verdadeiro destinatário da moeda digital muitas vezes não podem ser identificados. De acordo com Nawari e Ravindran:
Todas as transações efetuadas em Bitcoin são automaticamente registradas no blockchain (cadeia de blocos), que nada mais é do que um registro público de todas as transações efetuadas na rede. Cada peer tem uma cópia do blockchain, o que lhe dá autonomia de verificar qualquer Bitcoin existente na rede. Essas transações podem ser rastreadas apenas com a chave de cada transação, confirmando assim a sua autenticidade, porém não é possível rastrear o usuário que está realizando essa transação, nem o remetente e nem o destinatário, assim a moeda gera a principal característica dela, que é a anonimidade. O sistema de gerenciamento de Bitcoins se pauta em princípio da privacidade e confiança, eis que A privacidade é obtida por meio da criptografia de dados e garante que as transações sejam autenticadas e verificadas. A privacidade é uma parte crucial do BCT para fortalecer a segurança e tornar o sistema distribuído na rede mais difícil de violar. Confiança (consenso): Confiança significa usar o poder da rede para verificar a transação de dados. O modelo de confiança (consenso) é verdadeiramente o coração dos aplicativos de blockchain. A confiança é o que entrega os princípios de confiança, trocas e propriedade. A confiança é o que permite que o blockchain desloque o sistema de transação, mas isso só pode acontecer quando o comércio e a propriedade são tratados por livros-razão distribuídos/compartilhados. (Nawari; Ravindran, 2019, p. 12).
Diante dessa lacuna na legislação, atualmente, existe um projeto de lei à espera de votação na comissão de comunicação e direito digital, a PL 879/2022, no qual, caso seja aprovada, inserirá o crime de sequestro de dados no Código Penal, com pena de até 8 anos de reclusão e multa, além promover uma reestruturação nos métodos de investigação com a ampliação e aperfeiçoamento tecnológico das delegacias especializadas em crimes cibernéticos.
5. PANORAMA INTERNACIONAL
Em face da ameaça que o ransomware instaura nas instituições por todo mundo, alguns países já se posicionaram em tecer a legislação específica para o crime. No caso, os Estados Unidos, tipificou no Título 18, Seção 1030 do United States Code14 o conceito acerca do cibercrime, regulamentando a pena em 5 (cinco) anos de prisão e multa, sendo a pena dobrada em caso de reincidência.
Contudo, como já mencionada, a legislação interna de um país por si só não é suficiente para punir os criminosos, visto que a maioria dos ataques são coordenados de outros países, sendo a Rússia a principal disseminadora do malware (Fincen, 2022). Assim, faz-se necessário uma cooperação internacional a fim de localizar os criminosos que mascaram o ataque e utilizam-se de criptomoedas para assegurar o anonimato no recebimento do resgate. Esse é o entendimento de Wendt:
As instituições de segurança e de tecnologia ainda não sabem lidar adequadamente com a investigação criminal quando envolvem criptoativos. Mas, diga-se, neste caso, depende-se em regra de uma interação internacional, o que é dificultado pela necessidade protocolar de uma cooperação internacional. (Wendt, 2023, p.203)
O principal problema enfrentado na luta contra o malware é a burocracia e a falta de uma padronização investigativa e colaboração mútua entre os países, visto que grande parte dos ataques são originários fora dos limites territoriais das vítimas, praticamente impossibilitando o seu rastreio.
Nesse sentido, a Convenção de Budapeste firmou acordos entre os países signatários para facilitar a investigação de crimes cibernéticos ou facilitar investigações penais que demandam algum tipo de prova eletrônica. O número de países que ratificaram o acordo ainda é muito baixo, totalizando apenas 66 até o ano de 2021. O Brasil tornou-se adepto deste acordo através do Decreto nº 11.491 de 12 de abril de 2023. Entretanto, a Rússia, um dos principais agentes disseminadores de ransomware, como supracitado, não é convencionado.
A empresa SEK referência na América Latina em soluções e serviços de cibersegurança (Sek, 2023) divulgou que esse tipo de ataque (sequestro de dados) cresceu 71% em todo mundo. Já o número de autores disparou 441% em comparação ao ano de 2022. No ano de 2023, foi contabilizado por uma empresa de cryptomoedas um prejuízo de 1,1 bilhão de dólares em todo o mundo devido a esse malware (Chainalysis, não paginado, 2023) demonstrando assim que o problema é global e está fora de controle.
Em maio de 2021 a seguradora americana CNA Financial, pagou 40 milhões de dólares em Bitcoins para retomar o controle de seu sistema e reaver seus dados roubados. Esse foi o maior valor despendido em resgate de dados até o momento, superando o valor de 11 milhões de dólares pago pela empresa JBS em janeiro de 2011. (Infomoney, 2021)
Através dos números que demonstram o grande crescimento desse tipo de crime, bem como a gravidade do dano causado às empresas pela perda de informações de alta relevância ocasionando a interrupção de suas atividades, constata-se que a escalada do ransomware tem sido o pior tipo de crime cibernético e tem sido criadas, de forma exponencial, várias organizações criminosas especializadas nesse tipo de delito, visto que é o golpe eletrônico mais rentável de que se tem notícia, pois afeta 3 categorias de usuários: pessoas físicas, pessoas jurídicas e instituições do setor público.
6. OS SUJEITOS DA RESPONSABILIZAÇÃO
Apesar do ataque por ransomware se dar através do âmbito virtual, muitas vezes pelos inúmeros compartilhamentos de arquivos até chegar ao usuário atingido, o referido programa foi desenvolvido e postado através de uma ação humana e, portanto, o agente que o criou ou disseminou torna-se responsável pelos danos aos bens jurídicos de outrem. Entretanto, na prática, existe certa dificuldade em identificar e responsabilizar os malfeitores. Por conta disso, além desses, deve-se identificar se existemterceiros a serem responsabilizados, de forma indireta por tal ato.
Com isso, falar da responsabilidade civil e penal do criador ou do usuário transmissor do ransomware pode parecer óbvio para muitos, porém, o óbvio pode ser extremamente custoso, momento em que encontrar os referidos responsáveis por criar e disseminar o programa malicioso é uma tarefa árdua e onerosa para o sujeito lesado, momento em que se torna mais fácil buscar a responsabilização em terceiros que tenham o dever de proporcionar segurança na navegação on-line do que nos culpados diretos, simplesmente pelos mesmos não deixarem quaisquer vestígios.
Antes do advento do Marco Civil da Internet, era justamente o que acontecia, pela dificuldade de localizar o agente direto dos ataques, a responsabilidade civil do dano era imposta as empresas de segurança, de serviços online e principalmente aos provedores de acesso à internet. No entanto, em seu art. 13, afirma que o provedor de acesso tem a responsabilidade de manter o registro de acesso do usuário sob sigilo, pelo prazo de 1 (um) ano, podendo ser prorrogado por tempo superior, sem especificar um limite, mediante requerimento de autoridade policial ou administrativa, ou, ainda, pelo Ministério Público (§ 2º).
Ademais, a responsabilidade do provedor de acesso é personalíssima, ou seja, não poderá delegar a terceiros, conforme § 1º, do mesmo artigo, acima citado. Todavia, não podendo guardar em sigilo o registro de acesso do provedor de aplicações de internet (art. 14), tendo este último, também, dever de sigilo aos demais, porém em prazo inferior aos dos provedores de acesso, 6 (seis) meses.
No tocante às plataformas provedoras de conteúdo, Carlos Roberto Gonçalves discorre que estão sujeitas à responsabilidade civil objetiva, assumindo a teoria do risco, pois uma vez que, ao permitir postagens em seu site, estariam assumindo o risco de, em algum momento, lesar direito de outrem, referindo-se tanto às postagens próprias, quanto as postagens feitas por terceiros. (Gonçalves, 2017, p. 21).
Embora a LGPD tenha criado diretrizes mais rígidas para as empresas e indivíduos que não atendam os requisitos de manipulação de dados (como pagamento de multas). Na prática a norma ainda não conseguiu criar uma forma de localizar o infrator, puni-lo nas esferas cível e penal, além de não ser possível também reverter o vazamento e a criptografia de dados. Essa incapacidade de proteger e tutelar os bens imateriais por parte do Estado, vem incentivando o pagamento do resgate pelas vítimas, pois pressionadas pela falta de alternativas, cedem o pagamento para poder reestabelecer seus dados e suas atividades organizacionais, no caso das empresas.
Especialistas de segurança de vários países aconselham o não pagamento desse resgate, pois ao fazer isso, as vítimas estão contribuindo para o crescimento dessas organizações criminosas bem como patrocinando o aperfeiçoamento tecnológico desses ataques. Lema e Freitas (2021) observam que independentemente do tipo de ransomware não há garantias que após o pagamento do valor estipulado de resgate o usuário receberá acesso aos dados novamente, sendo que há situações onde mesmo sendo pago o valor estipulado não houve a recuperação de acesso ou foi solicitado um segundo valor de resgate:
Tanto indivíduos quanto empresas enfrentam a decisão de pagar quando não têm backups adequados para se recuperar do ransomware. Como tal, a decisão se resume a duas questões relacionadas. Em primeiro lugar, os dados valem mais do que o resgate? E, em caso afirmativo, qual é o nível de confiança de que o criminoso irá descriptografar os dados se o resgate for pago. Além disso, há sempre a preocupação de que pagar o resgate encoraje os criminosos. (Richardson; North, 2017, p.13-14).
Nesse cenário, quando a vítima paga pelo resgate das informações, de certa forma, está incentivando e patrocinando, indiretamente, mais ataques e assegurando a impunidade dos infratores. No entanto, quando a vítima opta por não fazer o pagamento e recorre ao poder judiciário para pleitear a recuperação da posse dos bens intelectuais perdidos, se depara com a frustração de não obter sucesso na lide penal, pois os meios de investigação são limitados e há pouca infraestrutura de tecnologia da informação, o que dificulta a localização dos criminosos.
Em resumo, a dificuldade reside na desconexão entre a pseudonimidade da blockchain e a identidade do mundo real, exacerbada por ferramentas de ocultação e moedas de privacidade. O rastreamento bem-sucedido geralmente depende de um erro operacional dos criminosos, como a conversão de fundos em uma corretora regulamentada, e não da transparência inerente da blockchain.
Embora o rastreamento seja difícil, a natureza imutável da blockchain permite a análise forense. Ferramentas especializadas (como Chainalysis ou CipherTrace) utilizam algoritmos de análise de gráficos e agrupamento de endereços para tentar mapear o fluxo de fundos. Elas buscam padrões, como a consolidação de fundos de várias carteiras para uma única, que pode indicar um ponto de controle.
Essas ferramentas, ainda pouco conhecidas pelos investigadores, tanto brasileiros, como estrangeiros, necessitam de grande investimento em infraestrutura tecnológica das policias especializadas em crimes cibernéticos para que, de fato, possam ser utilizadas de forma eficiente e consigam rastrear as transações financeiras camufladas pelo modelo das criptomoedas, o que por consequência, identifiquem os criminosos autores dos ataques, assim, responsabilizando os disseminadores dos ataques.
7. CONCLUSÃO
O presente artigo abordou o crescimento de meios de tecnologia da informação e como eles têm gerado uma grande mudança nas relações sociais e econômicas nos últimos anos, com a transferência e armazenamento de dados em um ambiente virtual. Esse processo tem demandado uma série de regulamentações e adaptações por parte do direito, a fim de acompanhar essas transformações. Porém, no âmbito Penal, existem muitas lacunas que vêm motivando o aumento dos ataques cibernéticos, especialmente o ransomware, o mais prejudicial da atualidade.
A pesquisa demonstrou a grande necessidade de tipificação desse malware na lei brasileira e mostrou como a legislação atual é ineficaz para combater esse tipo de delito. Para fazer isso, utilizou-se a metodologia de pesquisa bibliográfica, analisando a legislação atual, artigos científicos e sites, onde foi possível perceber que o regulamento atual não é inteiramente compatível, tanto no que diz respeito à tipicidade quanto à penalidade imposta pelo crime, já que seu poder altamente prejudicial tem afetado setores de infraestruturas críticas como as empresas de telecomunicações, bancos, o setor de fornecimento de energia, hospitais e indústrias.
A Lei Geral de Proteção de Dados criou diretrizes de controle, requisitos técnicos e estruturais para ampliar a segurança das empresas públicas e privadas, no processamento correto de dados. É um avanço, mas o trabalho de pesquisa evidencia que ainda é necessário muito mais, especialmente o incentivo para educação, o Estado deve criar uma grade curricular de segurança digital, desde o ensino básico ao superior, pois a globalização da informação é uma realidade, no entanto, a maioria dos profissionais, entram no mercado de trabalho sem conhecer os riscos e possíveis falhas dos aparelhos informáticos. Portanto, para combater de maneira eficaz esse tipo de crime, a prevenção primária, como acontece em outros delitos, ainda é o meio de controle.
Ademais, poucas empresas estão dispostas a seguir as diretrizes da LGPD, pela falta de conhecimento e capacitação dos colaboradores pra implementá-las.
Diante desse cenário, é evidente a necessidade de aperfeiçoamento da legislação vigente, o Estado deve criar políticas de incentivo à educação de segurança digital, implementar métodos eficazes de controle e monitoramento digital, participar de grupos de colaboração internacional para realizar as investigações de forma padronizada, bem como incluir o ataque de ransomware no rol dos crimes hediondos, devido a sua gravidade e as consequências nefastas que ele provoca, a fim de garantir a segurança da sociedade brasileira nesses novos moldes.
4Termo em inglês (Internet of things- internet das coisas) usado para categorizar todo o tipo de equipamento que possui conexão com a internet e envia dados de telemetria do usuário para uma plataforma em nuvem de determinado dispositivo. Ex: carros, eletrodomésticos, equipamentos hospitalares entre outros.
5Pessoa que possui notório conhecimento digital e o utiliza para descobrir falhas em sistemas computacionais com propósitos ilícitos.
6Nome atribuído genericamente aos softwares desenvolvidos com a finalidade de prejudicar, explorar ou contaminar o dispositivo ou sua rede deriva da união de malicious software, software malicioso.
7Programa de computador.
8Partes físicas de um dispositivo.
9Perseguidor.
10Resgate, sequestro, roubo
11termo “Deep Web” se refere a todas as páginas da Web que os mecanismos de pesquisa não conseguem identificar. Ela fica abaixo da superfície e é lá que estão cerca de 90% de todos os sites. É um ambiente na internet relativamente seguro, pois seus usuários possuem anonimato. No entanto, essa característica também é aproveitada para a prática de crimes e conteúdos digitais ilegais.
12Serviço de E-Mail anônimo e criptografado.
13Ação Penal nº 0739738-13.2022.8.07.0001 – Ataque ao Banco de Brasília com o malware ransomware.
14Compilação da Legislação Federal dos Estados Unidos da América
Ataques de ransomware crescem 50% no Brasil, afirma a Avast. 2022. Disponível em: https://inforchannel.com.br/2022/08/10/ataques-de-ransomware-crescem-50-no-brasil-afirma-a-avast/. Acesso em: 3 ago. 2023.
BRASIL. Constituição (2022). Emenda Constitucional nº 115, de 10 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Disponível em: https://www.planalto.gov.br/ccivil _03/constituicao/Emendas/Emc/emc115.htm. Acesso em: 3 ago. 2023.
BRASIL. Decreto-Lei nº 2848, de 7 de dezembro de 1940. Código Penal. Disponível em: https://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm. Acesso em: 3 ago. 2023.
BRASIL. Decreto nº 11491, de 12 de abril de 2023. Promulga a Convenção sobre o Crime Cibernético, firmada pela República Federativa do Brasil, em Budapeste, em 23 de novembro de 2001. Disponível em: https://legislacao.presidencia.gov.br/atos/?tipo=DEC&numero=114 91&ano=2023&ato=7a7kXWU10MZpWT0be. Acesso em: 3 ago. 2023.
ESSE, Luís Gustavo; SILVA, Bruno. Os dados pessoais como patrimônio imaterial da pessoa humana. 2021. Disponível em: https://www.migalhas.com.br/depeso/356166/os-dados-pessoais-como-patrimonio-imaterial-da-pessoa-humana. Acesso em: 3 ago. 2023.
JESUS, Damásio de. Manual de Crimes Informáticos. São Paulo: Saraiva, 2016.
GONÇALVES, Carlos Roberto. Direito Civil Brasileiro, vol. 4: Responsabilidade Civil. 12ª ed. São Paulo: Saraiva, 2017. p. 21.
JBS pagou segundo maior resgate com Bitcoin da história após ataque hacker. [S. l.], 2 fev. 2023. Disponível em: https://www.infomoney.com.br/mercados/jbs-pagou-segundo-maior-resgate-com-bitcoin-da-historia-apos-ataque-hacker-mostra-relatorio/. Acesso em: 23 out. 2024.
MACHADO, Léia; SILVA, Bruno. 91% das empresas brasileiras pagam resgate quando são atacadas por ransomware. 2023. Disponível em: https://www.securityreport.com.br/91-das-empresas-brasileiras-pagam-resgate-quando-sao-atacadas-por-ransomware/#:~:text=De%20ac ordo%20com%20o%20relat%C3%B3rio,fizeram%20mais%20de%20uma%20vez.. Acesso em: 3 ago. 2023.
O que é malware? Disponível em: https://www.mcafee.com/pt-br/antivirus/malware.html#:~ :text=O%20que%20%C3%A9%20malware%3F,v%C3%ADtimas%20para%20obter%20ganhos%20financeiros.. Acesso em: 3 ago. 2023.
REUTERS. Hackers russos causaram maioria dos casos de ransomware em 2021, dizem EUA. 2022. Disponível em: https://www.cnnbrasil.com.br/tecnologia/hackers-russos-causaram-maioria-dos-casos-de-ransomware-em-2021-dizem-eua/. Acesso em: 3 ago. 2023.
RIBEIRO, Gustavo A. M.; CORDEIRO, Pedro Ivo R. V.; FUMACH, Débora M. O malware como meio de obtenção de prova e a sua implementação no ordenamento jurídico brasileiro. Revista Brasileira de Direito Processual Penal, vol. 8, n. 3, p. 1463-1500, set./dez. 2022.
SILVA, Bruno. Ransomware pode ser crime enquadrado no Código Penal. 2023. Disponível em: https://www.securityreport.com.br/ransomware-pode-ser-crime-enquadrado-no-codigo-penal/. Acesso em: 3 ago. 2023.
1 Trabalho de conclusão de curso, apresentado ao Curso de Direito, do Centro Universitário de Santa Fé do Sul, SP, UNIFUNEC.
2 Graduando em Direito, Centro Universitário de Santa Fé do Sul, UNIFUNEC
3 Docente do Centro Universitário de Santa Fé do Sul – SP, UNIFUNEC