CYBERCRIMES AND BRAZILIAN LEGISLATION
REGISTRO DOI: 10.69849/revistaft/fa10202409262103
Beatricia dos Santos Carvalho Pereira França
RESUMO
Os crimes cibernéticos são uma ameaça crescente na era digital, atingindo tanto indivíduos quanto instituições. A rápida evolução tecnológica e o uso intenso da internet aumentam a complexidade dessas infrações, que incluem desde fraudes até ataques de ransomware. Esses crimes afetam não só a propriedade, mas também direitos fundamentais, como a privacidade e a segurança de dados. O sistema jurídico enfrenta grandes desafios, já que muitas leis foram criadas antes do surgimento dessas novas formas de crime, o que dificulta sua aplicação. No Brasil, a adaptação legislativa é complexa devido ao princípio da legalidade e a demora na edição de leis. Além disso, a natureza global desses crimes exige cooperação internacional, que muitas vezes não ocorre da forma mais simples. A modernização das infraestruturas tecnológicas e a formação contínua de especialistas são essenciais para combater esse mal. Assim, o combate ao cibercrime depende de uma abordagem integrada, com atualização legal, melhoria tecnológica e colaboração entre países, para garantir um ambiente digital seguro e protegido.
Palavras-chave: Crimes Cibernéticos. Segurança. Cooperação internacional.
I – INTRODUÇÃO
Crime cibernético refere-se a qualquer ato ilícito que seja cometido através do uso de computadores, redes de internet ou dispositivos eletrônicos. Esses crimes envolvem a utilização de tecnologias da informação para violar a segurança, privacidade ou integridade de sistemas computacionais, acessar dados de forma não autorizada, fraudar ou causar danos a indivíduos, empresas e até governos. Eles são considerados uma forma de crime moderno, surgidos com o advento da internet e a digitalização das comunicações e transações.
Os crimes cibernéticos podem ser classificados como próprios ou impróprios. Próprios quando o tipo penal qualificador descreve a prática delituosa que somente ocorre pelo meio virtual ou informático. Já os impróprios são crimes que, embora não sejam tipificados no âmbito virtual, podem vir a ocorrer neste meio.
Pode-se concluir, então, que os crimes cibernéticos podem atingir diversos direitos tutelados: direito à propriedade, por fraudes on-line; direito à liberdade, por ciberbullying; direito à dignidade sexual, por pornografia infantil. Inclusive, envolvem a violação de direitos fundamentais, como privacidade, segurança e integridade.
Os criminosos cibernéticos podem ser indivíduos que podem operar a partir de qualquer lugar do mundo, o que torna a investigação e o combate um desafio significativo para as autoridades legais.
As entidades, em cada âmbito de atuação, também estão sujeitas às legislações pertinentes aos crimes cibernéticos, em razão da proteção de dados pessoais de seus usuários e/ou funcionários. Empresas privadas, multinacionais, empresas de tecnologia, redes sociais, e-commerce, entidades governamentais em todos os níveis: municipal, estadual e federal; ONGs e Fundos de Caridade que coletam e utilizam dados pessoais de doadores, voluntários ou beneficiários. Todos órgãos, empresas ou entidades que processam dados, podem cometer crimes cibernéticos por vazamento de dados, uso indevido de dados, modificação ou manipulação de dados, entre outras ações.
A relevância do estudo dos crimes cibernéticos atualmente é revelada pelo crescimento da dependência digital do mundo moderno. Com a crescente digitalização da sociedade, quase todas as esferas da vida humana – desde o trabalho e educação até o comércio e o entretenimento – dependem de tecnologia. Essa dependência aumenta a probabilidade de sofrer um crime cibernético, tornando essencial a compreensão e a prevenção dessas ameaças.
O avanço dos crimes cibernéticos exige que as legislações e as práticas jurídicas sejam constantemente atualizadas para lidar com novas formas de criminalidade digital. Assim como a tecnologia está em constante evolução, as técnicas utilizadas pelos criminosos cibernéticos igualmente estão. A atenção aos crimes cibernéticos permite acompanhar essas mudanças e adaptar as respostas legais e tecnológicas para combatê-los.
As legislações pertinentes a tais crimes são essenciais para proteger a sociedade moderna contra os riscos associados ao uso crescente da tecnologia e garantir um ambiente digital mais seguro e confiável para todos. É possível desenvolver estratégias de prevenção e programas educativos que conscientizem o público sobre os riscos online e as melhores práticas para proteger suas informações e evitar se tornar vítima.
II – METODOLOGIA
A metodologia do presente trabalho segue uma abordagem qualitativa e descritiva, baseada em análise documental e revisão bibliográfica sobre as legislações nacionais e internacionais contra crimes cibernéticos. Para isso, foram coletadas e analisadas leis e convenções relevantes para o tema, com foco na Convenção de Budapeste, no Marco Civil da Internet, na Lei Carolina Dieckmann, entre outras normativas brasileiras.
A análise visa identificar como diferentes jurisdições lidam com o fenômeno dos crimes digitais e como suas legislações se adaptam às novas ameaças no ciberespaço.
Foram analisados casos práticos de crimes cibernéticos conhecidos, como o caso de Carolina Dieckmann, e, de forma geral, casos de ataques globais como o WannaCry, para contextualizar a aplicação prática das leis discutidas.
Além disso, foi trazido a conceituação de diversos tipos de crimes cibernéticos praticados atualmente.
A metodologia utilizada permitiu uma compreensão detalhada das respostas legislativas aos crimes cibernéticos e as perspectivas de avanço da legislação no Brasil.
III – LEGISLAÇÕES CONTRA CRIMES CIBERNÉTICOS NO MUNDO
III.1- Convenção de Budapeste
A Convenção de Budapeste sobre cibercrime, em 2001, foi o primeiro tratado internacional que buscou harmonizar as legislações sobre crimes cibernéticos.
O Brasil não é signatário, porém a Convenção conta com diversos países de todos os continentes. Nas Américas, os signatários são: Argentina, Canadá, Chile, Costa Rica, República Dominicana, Estados Unidos e Paraguai.
A motivação principal para a criação da Convenção de Budapeste foi o aumento significativo de crimes cometidos por meio de tecnologias da informação e comunicação, como fraudes, violações de direitos autorais, espionagem cibernética e a disseminação de conteúdo ilegal (como pornografia infantil). A ausência de legislação padronizada e a dificuldade em cooperar internacionalmente para investigar e processar esses crimes impulsionaram a necessidade de um tratado que unificasse abordagens e facilitasse a colaboração entre os países.
III.2 – Legislações brasileiras
No Brasil, há o Marco Civil da Internet (Lei nº 12.965/2014), que define direitos e deveres de usuários e provedores de internet, bem como, estabelece princípios como a liberdade de expressão e a proteção da privacidade.
A Lei Carolina Dieckmann (Lei nº 12.737/2012), que penaliza a invasão de dispositivos informáticos para obtenção, adulteração ou destruição de dados sem autorização, com penas que podem chegar a dois anos de prisão.
Há também a Lei Geral de Proteção de Dados (LGPD-Lei nº 13.709/2018), que regula o tratamento de dados pessoais, estabelecendo regras sobre a coleta, armazenamento e compartilhamento de dados.
III.3 – Legislação na União Europeia
Na União Europeia, a Lei Diretiva sobre Ataques contra Sistemas de Informação, de 2013, harmoniza leis penais relativas a crimes cibernéticos entre seus países membros.
A General Data Protection Regulation (GDPR), de 2018, serve como referência global. Ela estabelece regras rigorosas sobre o tratamento de dados pessoais, com foco na proteção da privacidade do usuário. As organizações são obrigadas a ser transparentes sobre como utilizam os dados pessoais e devem adotar fortes medidas de segurança para protegê-los. Os indivíduos podem acessar, corrigir e solicitar a exclusão dos seus dados pessoais e há, ainda, a previsão de penalidades severas para violadores, incluindo multas que podem chegar a 4% do faturamento anual global da empresa.
III.4 – Legislação nos Estados Unidos da América
Nos Estados Unidos, a Computer Fraud and Abuse Act, de 1986 é a principal legislação contra crimes cibernéticos, aplicável a uma ampla gama de atividades ilegais como invasão de sistemas, roubo de informações e ataques cibernéticos. As penas são previstas entre 1 a 35 anos, podem resultar em longas sentenças de prisão, dependendo da gravidade do crime.
A Electronic Communications Privacy Act (ECPA – 1986): Regula a interceptação e divulgação de comunicações eletrônicas e dados armazenados, garantindo a privacidade dos usuários.
III.4 – Legislação na China
Na China a National Security Law, de 2015, é uma peça central para reforçar o controle estatal e soberania entre diversos domínios, tratando não somente do ciberespaço, mas também de economia, ambiente e cultura.
A lei prevê o controle do ciberespaço como uma questão de segurança nacional. Dessa forma, autoriza o governo a tomar medidas contra atividades consideradas uma ameaça à segurança nacional, incluindo poderes de investigação, de controle e de censura sobre atividades que possam ser consideradas perigosas ou subversivas. Permite ao governo chinês o monitoramento e controle das informações digitais com a alegação de promover a segurança nacional.
As empresas do setor de tecnologia e internet estrangeiras que operam na China precisam garantir que o sistema de dados atenda à Lei, isto inclui controlar e censurar informações ou opiniões que possam desafiar a autoridade do Partido Comunista Chinês.
A Cybersecurity Law, de 2017, estabelece uma estrita regulamentação do ciberespaço, com forte controle estatal sobre a internet. Inclui requisitos rigorosos para a coleta e armazenamento de dados, com a obrigatoriedade de que dados sensíveis sejam armazenados dentro do país, complementando a National Security Law, criando uma rede legal que dá controle ao governo chinês sobre o ciberespaço e segurança interna.
IV – LEGISLAÇÃO BRASILEIRA ATUAL
IV.1 – Marco Civil da Internet: Lei 12.965/2014
O Marco Civil da Internet, a Lei nº 12.965, foi sancionado no Brasil em 23 de abril de 2014. A Lei estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil.
Ronaldo Lemos1, um dos principais responsáveis pela formulação do Marco Civil da Internet, declara o seguinte:
O Marco Civil da Internet não é apenas uma lei sobre a regulação da internet. É uma lei que reflete os valores da liberdade de expressão, da privacidade e da neutralidade da rede, pilares fundamentais para o ambiente digital democrático.
A Lei considera o acesso à internet essencial ao exercício da cidadania e estabelece diretrizes para que o governo brasileiro atue na promoção da inclusão digital, garantindo a universalização do acesso.
O Marco Civil garante a proteção da privacidade dos usuários e estabelece que os provedores de serviços online devam guardar os registros de conexão e de acesso a aplicações de internet, mas com uma série de restrições quanto ao uso desses dados. Eles só podem ser compartilhados mediante autorização expressa do usuário ou por ordem judicial.
Reforça, ainda, a importância da liberdade de expressão na internet, sendo vedada a censura prévia. Estabelece que a internet deve ser um espaço livre para a manifestação de ideias e opiniões, respeitando, porém, os limites legais. A Lei estabelece que os provedores de internet só são responsáveis por conteúdos de terceiros se, após ordem judicial, não tomarem as providências necessárias para retirar o conteúdo ilegal do ar. Isso visa proteger a liberdade de expressão ao mesmo tempo que coíbe crimes online.
Patrick Peck Pinheiro2, especialista em Direito Digital, define da seguinte forma: “O Marco Civil da Internet representa um avanço significativo na proteção dos direitos dos internautas, ao estabelecer balizas claras para o uso responsável da rede, reforçando a importância da privacidade e da liberdade de expressão.”.
O princípio da Neutralidade da Rede garante que todos os dados na internet sejam tratados de forma igualitária, sem discriminação por conteúdo, origem, destino, serviço, terminal ou aplicativo. Isso impede, por exemplo, que provedores de internet favoreçam certos sites ou serviços em detrimento de outros.
O Marco Civil da Internet é um marco na legislação digital, não só no Brasil, mas mundialmente, sendo visto como uma das primeiras grandes legislações a tratar de forma abrangente o ambiente online, buscando equilibrar a liberdade dos usuários com a responsabilidade dos provedores e a proteção dos direitos individuais.
IV.2 – Lei Geral de Proteção de Dados Pessoais – Lei 13.709/2018
A Lei Geral de Proteção de Dados Pessoais, a LGPD, de 14 agosto de 2018, é a lei que regula o tratamento de dados pessoais no Brasil, tanto por pessoas físicas quanto jurídicas, no setor público e privado, como prevê o artigo 1º, in legis:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
O livre desenvolvimento da personalidade da pessoa natural, previsto no artigo 1º da Lei, é no sentido de reconhecer que os dados pessoais são uma extensão da identidade e dignidade da pessoa. Ao regular o tratamento de dados pessoais, a LGPD busca criar um ambiente onde as pessoas possam se desenvolver e se expressar livremente sem temor de terem suas informações manipuladas de maneira inadequada ou sem consentimento.
Ingo Sarlet3, especialista em Direitos Fundamentais, elucida da seguinte forma:
A Lei Geral de Proteção de Dados reflete a preocupação crescente com a proteção da privacidade em uma sociedade cada vez mais digitalizada. Ela busca garantir que os direitos de liberdade e privacidade sejam preservados em face dos avanços tecnológicos.
Segundo a Lei Geral de Proteção de Dados, dados pessoais são definidos como informações relacionadas a uma pessoa natural identificada ou identificável. Isso significa qualquer dado que possa identificá-la: nome completo, CPF, RG, endereço de e-mail, número de telefone, endereço residencial. Já os dados de Identificação Indireta são: o endereço IP, a localização geográfica, identificadores online (cookies, ID de usuário, identificadores de dispositivos), dados de características pessoais, como data de nascimento, sexo, estado civil e dados de comportamento (histórico de compras e preferências de navegação).
A LGPD também define uma categoria especial de dados, chamada de dados pessoais sensíveis, que são aqueles que, por sua natureza, merecem uma proteção mais rigorosa devido ao potencial de discriminação ou impacto significativo na privacidade do indivíduo. Esses dados incluem: Origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos.
A LGPD desempenha um papel crucial no combate aos crimes cibernéticos, pois estabelece um conjunto de diretrizes e obrigações para o tratamento de dados pessoais, o que, por sua vez, fortalece a segurança das informações e minimiza os riscos associados aos ataques.
A lei garante aos titulares dos dados o direito à transparência e ao controle sobre suas informações, permitindo que saibam como seus dados são usados e tenham a possibilidade de corrigi-los, excluí-los ou restringir seu uso.
Danilo Doneda4, um dos autores da LGPD salienta o seguinte:
A LGPD foi um marco necessário para assegurar que o tratamento de dados pessoais no Brasil ocorra em um ambiente que respeite os direitos fundamentais e a dignidade da pessoa humana, garantindo que os titulares possam ter controle sobre suas informações.
Uma forma de fortalecer a segurança é impondo às empresas e organizações a responsabilidade de adotar medidas de segurança adequadas para proteger os dados pessoais contra acessos não autorizados, vazamentos e outras formas de tratamento inadequado. Isso inclui a implementação de tecnologias de segurança, treinamento de funcionários e a criação de políticas de proteção de dados.
A LGPD exige que as empresas notifiquem as autoridades competentes e os titulares dos dados sobre incidentes de segurança que possam resultar em riscos ou danos. Isso promove uma resposta rápida a ataques cibernéticos, permitindo a adoção de medidas para mitigar os danos e prevenir futuros ataques.
Prevê, ainda, sanções rigorosas para as empresas que não cumprirem as normas de proteção de dados, o que incentiva as organizações a investirem em segurança da informação para evitar penalidades.
Em geral, a coleta e o tratamento de dados pessoais só podem ser realizados com o consentimento explícito da pessoa a quem os dados se referem, exceto em alguns casos previstos na lei.
A LGPD é um marco legal importante no Brasil, alinhando-se com legislações internacionais como o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia.
IV.3 – Leis que alteraram o Código Penal
IV.3.1 – Lei de Stalking – Lei 14.132/2021
A Lei nº 14.132, sancionada em 31 de março de 2021, incluiu no Código Penal brasileiro o crime de perseguição (stalking), por meio do artigo 147-A.
Esse dispositivo legal criminaliza o ato de perseguir alguém de forma reiterada, ameaçando sua integridade física ou psicológica, restringindo sua capacidade de locomoção, invadindo ou perturbando sua esfera de privacidade. A pena para o crime de perseguição pode variar de 6 meses a 2 anos de reclusão, além de multa. Há também um aumento de pena em um terço se o crime for cometido contra mulheres, crianças, adolescentes, idosos ou pessoas com deficiência.
O objetivo da lei é reforçar a proteção das vítimas de perseguição, oferecendo uma resposta penal a condutas que antes eram tratadas de forma mais leve, como contravenções penais.
IV.3.2 – Lei 14.155/2021
A Lei 14.155/2021 incluiu o § 4º-A ao artigo 155 do Código Penal. A fraude eletrônica passou a ser uma qualificadora do crime de furto. Quando o furto é realizado por meio de dispositivo eletrônico (como phishing, ataques cibernéticos), a pena pode ser de 4 a 8 anos de reclusão e multa.
Ao artigo 171 do Código Penal, incluiu o § 2º-A. O estelionato eletrônico ocorre quando a fraude é realizada por meio de dispositivo eletrônico, como roubo de informações pessoais para obter vantagens indevidas. A pena é de 4 a 8 anos de reclusão e multa.
IV.3.3 – Lei 13.718/2018
A Lei 13.718/2018 incluiu ao Código Penal o artigo 218-C. Esse crime prevê a pena para quem divulga, por qualquer meio, incluindo eletrônico, conteúdo de estupro, sexo, nudez ou pornografia sem consentimento. A pena é de 1 a 5 anos de reclusão.
IV.3.4 – Lei Carolina Dieckmann: Lei 12.737/2012
A “Lei Carolina Dieckmann” é o nome popular dado à Lei nº 12.737, sancionada em 30 de novembro de 2012 e que entrou em vigor em abril de 2013. Essa legislação surgiu como resposta a um caso específico envolvendo a atriz brasileira Carolina Dieckmann, que teve fotos íntimas roubadas de seu computador pessoal e divulgadas na internet em maio de 2011. O incidente gerou grande repercussão na mídia e trouxe à tona a necessidade de uma legislação específica para crimes digitais no Brasil.
Em 2011, Carolina Dieckmann teve seu computador invadido por hackers que conseguiram acesso a fotos pessoais e privadas da atriz. Esses hackers tentaram extorqui-la, ameaçando divulgar as fotos na internet caso não pagasse uma quantia em dinheiro. Quando a atriz se recusou a ceder à extorsão, as imagens foram publicadas online, o que gerou grande indignação pública.
Na época, não havia uma legislação específica para lidar com crimes dessa natureza, o que dificultou a punição dos responsáveis. A repercussão do caso levou à criação de um projeto de lei que foi rapidamente tramitado no Congresso Nacional.
A Lei nº 12.737/2012 foi a primeira no Brasil a tratar especificamente de crimes cibernéticos, adicionando ao Código Penal Brasileiro os seguintes artigos:
Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita: (Redação dada pela Lei nº 14.155, de 2021)
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. (Redação dada pela Lei nº 14.155, de 2021)
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. (Incluído pela Lei nº 12.737, de 2012) Vigência
§ 2º Aumenta-se a pena de 1/3 (um terço) a 2/3 (dois terços) se da invasão resulta prejuízo econômico. (Redação dada pela Lei nº 14.155, de 2021)
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Vigência
Pena – reclusão, de 2 (dois) a 5 (cinco) anos, e multa. (Redação dada pela Lei nº 14.155, de 2021)
§ 4º Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012) Vigência
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra: (Incluído pela Lei nº 12.737, de 2012) Vigência
I – Presidente da República, governadores e prefeitos; (Incluído pela Lei nº 12.737, de 2012) Vigência
II – Presidente do Supremo Tribunal Federal; (Incluído pela Lei nº 12.737, de 2012) Vigência
III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou (Incluído pela Lei nº 12.737, de 2012) Vigência
IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal. (Incluído pela Lei nº 12.737, de 2012) Vigência
Ação penal (Incluído pela Lei nº 12.737, de 2012) Vigência
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.
A Lei também ampliou o artigo 266 do Código Penal, para incluir interrupção e perturbação nos serviços informáticos e telemáticos. O artigo abrangia apenas os serviços de telégrafos, radiotelégrafos e telefônicos.
A Lei Carolina Dieckmann foi um marco para a legislação brasileira, pois foi a primeira a criminalizar especificamente as invasões de dispositivos informáticos. A lei trouxe maior segurança jurídica em casos de crimes digitais, que se tornam cada vez mais comuns.
Guilherme de Souza Nucci5, especialista em Direito Penal, considera que a Lei preencheu uma lacuna na legislação penal brasileira:
A Lei Carolina Dieckmann surgiu em um momento crucial para a legislação brasileira, preenchendo uma lacuna no ordenamento jurídico, que até então não tratava adequadamente dos crimes cibernéticos, e promovendo maior segurança para as vítimas de invasão de privacidade.
Embora a lei tenha sido um avanço significativo, críticos apontam que ainda existem desafios na aplicação prática da legislação, especialmente diante da rápida evolução da tecnologia e das práticas criminosas no ambiente digital.
V – DOS CRIMES COMETIDOS NO ÂMBITO DIGITAL
Os criminosos cibernéticos estão constantemente desenvolvendo técnicas mais sofisticadas. Muitas vezes, esses ataques utilizam tecnologias de ponta, como inteligência artificial e aprendizado de máquina, para evadir a detecção. As forças de segurança precisam de ferramentas igualmente avançadas para identificar e mitigar essas ameaças, mas a obtenção e a implementação dessas tecnologias podem ser demoradas e caras.
Bruce Schneier6, especialista em segurança da computação e criptografia reforça o seguinte: “A segurança é um processo, não um produto. A luta entre os atacantes e os defensores é uma constante e a tecnologia está sempre mudando.” Malware, ou software malicioso, é um termo genérico usado para descrever qualquer tipo de software projetado para causar danos, explorar, comprometer ou obter acesso não autorizado a computadores, redes ou dispositivos móveis. O malware é criado com intenções maliciosas e pode assumir várias formas, cada uma com métodos diferentes de operação e objetivos variados.
Um vírus é um tipo de malware que se anexa a um programa ou arquivo legítimo e se replica quando o programa infectado é executado. Vírus podem corromper ou destruir dados, interromper operações do sistema e se espalhar para outros sistemas e arquivos.
Worms (Verme), são programas independentes que se replicam automaticamente sem a necessidade de “hospedeiros”. Eles se espalham rapidamente por redes, explorando vulnerabilidades de segurança, e podem causar sobrecarga de sistemas e redes.
O Trojan Horses (Cavalo de Troia) parece ser um software legítimo, mas esconde código malicioso que, quando executado, permite o acesso não autorizado ao sistema, coleta informações, instala outros malwares ou realiza outras atividades prejudiciais.
Ransomware é um tipo de malware que criptografa arquivos no computador da vítima e exige um pagamento de resgate para restaurar o acesso aos dados.
é um tipo de malware projetado para espionar as atividades do usuário sem o seu conhecimento. Ele pode registrar teclas digitadas (keyloggers), capturar senhas, monitorar navegação na web e coletar informações pessoais ou financeiras.
Adware é um tipo de malware que exibe anúncios indesejados em computadores ou dispositivos móveis.
Rootkits são um conjunto de ferramentas usadas por hackers para obter acesso administrativo não autorizado a um sistema. Eles são projetados para esconder a presença de outros malwares, tornando-os difíceis de detectar e remover.
Bots são programas que realizam tarefas automatizadas na internet. Quando um computador é infectado com um bot, ele pode ser controlado remotamente por um hacker, que o usa para ataques em larga escala.
Ataques de dia zero (ou “zero-day attacks”) são ataques cibernéticos que exploram vulnerabilidades desconhecidas em software, hardware, ou firmware. Essas vulnerabilidades são chamadas de “zero-day” porque os desenvolvedores não tiveram tempo (“zero dias”) para criar uma correção ou atualização de segurança antes que a vulnerabilidade seja explorada por atacantes. Primeiro há a descoberta da vulnerabilidade, uma falha de segurança que ainda não foi descoberta ou que não tem uma correção disponível. Quando um hacker ou um pesquisador de segurança encontra essa vulnerabilidade, ela é considerada de “dia zero”.
Um “exploit” de dia zero é um código ou técnica que tira proveito da vulnerabilidade para comprometer um sistema. Os atacantes usam esse exploit para realizar ações maliciosas, como roubo de dados, espionagem, instalação de malware, ou controle remoto de sistemas. Como a vulnerabilidade é desconhecida para o fabricante ou o desenvolvedor do software, não há correção ou patch disponível no momento do ataque. Isso faz com que o exploit seja particularmente perigoso, pois os sistemas são vulneráveis até que o problema seja identificado e corrigido.
Alguns ataques de dia zero já ocorreram na história.
O Ataque Aurora (2009), explorou uma vulnerabilidade de dia zero no Internet Explorer, permitindo que hackers comprometessem sistemas e acessassem informações confidenciais de grandes empresas.
O WannaCry Ransomware (2017) aproveitou uma vulnerabilidade de dia zero no protocolo SMB do Windows, que permitiu a propagação rápida do ransomware por redes globais antes que um patch fosse lançado.
Após criptografar e tornar inacessível o acesso dos usuários ou desenvolvedores, o ransomware exibe uma mensagem exigindo um “resgate” (geralmente em criptomoedas) em troca da chave de descriptografia necessária para restaurar o acesso aos dados.
Outro meio de exploração usado no âmbito da internet é a engenharia social.
Kevin Mitnick7 é estadunidense e um notório hacker, ele define a engenharia social da seguinte forma: “A engenharia social é uma arte de manipulação psicológica, onde o ataque é voltado para a exploração da confiança humana, em vez de vulnerabilidades técnicas.”.
Engenharia social é uma técnica de manipulação psicológica usada para enganar pessoas e levá-las a revelar informações confidenciais ou a realizar ações que comprometam a segurança de dados ou sistemas. Ao contrário de ataques cibernéticos que envolvem exploração de vulnerabilidades técnicas, a engenharia social foca na manipulação do comportamento humano.
Algumas táticas são usadas para alcançar tal objetivo:
Phishing: Envio de e-mails ou mensagens fraudulentas que parecem vir de fontes confiáveis (como bancos ou empresas) para induzir a vítima a fornecer informações pessoais, como senhas e números de cartões de crédito.
Pretexting: Criação de um pretexto ou história falsa para enganar alguém e obter acesso a informações confidenciais ou a um sistema.
Baiting: Oferecimento de um incentivo ou “isca” (como um download gratuito ou um pen drive deixado em um local público) que, quando acessado, instala malware no dispositivo da vítima.
Tailgating: Técnica que envolve seguir uma pessoa autorizada em uma área restrita para ganhar acesso sem as devidas credenciais. Isso geralmente é feito em locais físicos de trabalho.
Spear Phishing: Uma forma mais direcionada de phishing, onde o atacante personaliza o ataque com base em informações específicas sobre a vítima para aumentar as chances de sucesso.
Vishing (Voice Phishing): Uso de chamadas telefônicas para enganar as vítimas, convencendo-as a fornecer informações confidenciais ou realizar ações como transferências bancárias
Christopher Hadnagy8 é conhecido internacionalmente por seu trabalho na área de segurança cibernética e engenharia social e para ele é possível se defender da engenharia social: “A engenharia social é eficaz porque explora as fraquezas naturais do comportamento humano, tornando a educação e a conscientização essenciais para a proteção.”
VI – DESAFIOS NO COMBATE AOS CRIMES CIBERNÉTICOS
Os crimes cibernéticos representam um desafio significativo para o sistema jurídico, principalmente devido à rápida evolução tecnológica. Esse ambiente dinâmico cria várias complicações legais, como lacunas legislativas, dificuldades de interpretação das leis existentes e a necessidade de atualizações constantes.
As lacunas legais em crimes cibernéticos ocorrem porque muitas leis foram criadas antes do advento da internet e do crescimento da tecnologia digital. As legislações tradicionais nem sempre contemplam adequadamente a complexidade dos crimes cibernéticos, como hacking, phishing, roubo de identidade digital ou ataques de ransomware.
Mesmo quando existem leis que se aplicam aos crimes cibernéticos, interpretar essas leis em um contexto digital pode ser desafiador. Termos legais que eram claros no contexto físico podem se tornar ambíguos no ambiente digital. Por exemplo, o conceito de “propriedade” ou “roubo” é diferente no ciberespaço, onde dados podem ser copiados infinitamente sem a remoção do original. Além disso, a jurisdição é um grande desafio, pois crimes cibernéticos frequentemente envolvem vítimas e criminosos em diferentes lugares, o que torna a aplicação da lei complexa e pode criar conflitos legais.
A tecnologia evolui a um ritmo muito mais rápido do que a legislação. Novas técnicas de ataque, formas de anonimato e tecnologias emergentes (como inteligência artificial) criam continuamente novos métodos e oportunidades para crimes cibernéticos. Isso exige que as leis sejam constantemente revisadas e atualizadas para permanecerem relevantes e eficazes.
A dark web, por exemplo, é uma parte da internet que não é indexada pelos motores de busca tradicionais e requer softwares específicos para ser acessada. Embora a dark web seja frequentemente associada a atividades ilegais, como tráfico de drogas, armas e dados roubados, nem tudo na dark web é criminoso.
Existem comunidades, fóruns e sites que usam a dark web para garantir privacidade e anonimato, especialmente em regimes opressivos ou para evitar censura. Portanto, enquanto a dark web pode ser um local de crimes cibernéticos, ela também pode ser usada para fins legítimos, dependendo de como é acessada e usada.
A aplicação das leis contra crimes cibernéticos requer uma compreensão técnica sofisticada por parte dos agentes da lei, promotores e juízes. Sem essa compreensão, pode ser difícil investigá-los adequadamente. Isso sublinha a necessidade de treinamento contínuo e especialização em cibersegurança e direito digital.
Muitas forças de segurança ainda carecem de pessoal especializado em crimes cibernéticos. A natureza técnica e complexa desses crimes requer habilidades específicas em áreas como análise forense digital, segurança da informação, e criptografia.
Muitas instituições públicas ainda operam com infraestrutura de TI desatualizada, que não é adequada para lidar com a sofisticação dos ataques cibernéticos modernos. A modernização desses sistemas muitas vezes requer investimentos significativos, que nem sempre estão disponíveis, especialmente em países em desenvolvimento. Desse modo, recursos financeiros e humanos limitados também representam um grande obstáculo.
Crimes cibernéticos frequentemente exigem uma resposta que envolva múltiplos órgãos, como a polícia, agências de inteligência, e entidades reguladoras de tecnologia. A falta de um protocolo claro de comunicação e colaboração pode atrasar a resposta a incidentes e comprometer a eficácia das investigações.
A coleta e preservação de provas digitais são processos altamente técnicos que requerem ferramentas e técnicas especializadas. Muitas forças de segurança ainda não possuem as capacidades necessárias para coletar, preservar e analisar provas digitais de maneira que sejam admissíveis em tribunais. A burocracia e os processos administrativos lentos dentro das instituições públicas podem dificultar a implementação rápida de medidas de segurança e a resposta eficiente a incidentes cibernéticos.
Em resumo, para melhorar a capacidade de lidar com crimes cibernéticos, as forças de segurança e as instituições públicas precisam de mais investimentos em treinamento, tecnologia, infraestrutura, pessoal e colaboração.
A natureza global demonstra a necessidade crescente de colaboração internacional e harmonização das leis entre diferentes países, para enfrentar desafios como a extradição de criminosos, o compartilhamento de informações e a cooperação em investigações transfronteiriças.
VII – PERSPECTIVAS PARA LEGISLAÇÃO CONTRA CRIMES CIBERNÉTICOS NO BRASIL
O princípio da legalidade é um dos pilares do direito penal brasileiro, estabelecido no artigo 5º, inciso XXXIX, da Constituição Federal, que prevê: “não há crime sem lei anterior que o defina, nem pena sem prévia cominação legal”. Isso significa que uma pessoa só pode ser punida por uma conduta que já esteja prevista em lei como crime.
Fernando Capez9 destaca que “a legalidade é uma garantia de que o Estado só pode punir condutas que estejam previamente definidas em lei, preservando assim o princípio da segurança jurídica”.
Nos crimes cibernéticos, a aplicação do princípio da legalidade é desafiadora, pois a tecnologia avança mais rapidamente do que a legislação. Muitas vezes, condutas criminosas surgem no ambiente digital antes de haver uma tipificação legal clara.
No Brasil, ataques cibernéticos estão em crescimento. Empresas, governos e até indivíduos têm sido alvo dessas ameaças.
Um exemplo relevante foi o ataque à Secretaria do Tesouro Nacional, em 2021, em que hackers conseguiram explorar falhas nos sistemas do governo brasileiro, embora detalhes específicos não tenham sido divulgados.
Com o avanço da tecnologia e a sofisticação dos crimes cibernéticos, é vital que o Brasil continue fortalecendo sua infraestrutura de segurança digital para proteger instituições e cidadãos.
A questão de punir criminosos cibernéticos diante do princípio da legalidade é desafiadora no Brasil. Contudo, existem algumas abordagens para lidar com essas situações. Mesmo que não haja um crime específico tipificado para certos ataques cibernéticos, muitas condutas associadas a eles já são previstas na legislação. Crimes como estelionato digital, fraude, invasão de dispositivos e interceptação de dados podem ser aplicados em casos de crimes cibernéticos, desde que a conduta específica caiba nessas definições. Por exemplo, um ataque zero-day pode ser considerado uma forma de invasão de dispositivo informático (art. 154-A do Código Penal, com base na Lei nº 12.737/2012), dependendo das circunstâncias e dos objetivos do ataque.
A criação de leis mais abrangentes, que cubram lacunas tecnológicas emergentes, é essencial. O Projeto de Lei nº 4.554/2020, por exemplo, propõe melhorias à legislação de crimes cibernéticos no Brasil.
Crimes cibernéticos muitas vezes envolvem redes globais de criminosos. Assim, tratados internacionais e acordos de cooperação entre países, como a Convenção de Budapeste sobre crimes cibernéticos, fornecem um arcabouço para a atuação conjunta, investigações e punição de criminosos, especialmente quando as leis nacionais são insuficientes.
Diante das limitações existentes, a melhor forma de punir criminosos cibernéticos diante do princípio da legalidade é, primeiramente, atualizar a legislação constantemente para tipificar novos crimes e garantir que não haja lacunas. Enquanto isso, é possível usar crimes correlatos já previstos, como a invasão de dispositivos ou fraude, até que novas normas sejam criadas. Além disso, é importante recorrer a tratados internacionais e, quando cabível, aplicar medidas civis e administrativas.
Rogério Greco10 argumenta que “a evolução tecnológica frequentemente supera o ritmo da criação legislativa, o que leva a um vazio legal em relação a novos tipos de crimes, como os cibernéticos”.
VII – CONCLUSÃO
Os crimes cibernéticos emergem como uma das maiores ameaças na era digital, impactando significativamente a segurança, privacidade e integridade de indivíduos e instituições ao redor do mundo.
A natureza dinâmica e global dos crimes cibernéticos impõe desafios substanciais para o sistema jurídico. As lacunas nas legislações existentes, muitas vezes criadas antes da popularização da internet, dificultam a aplicação adequada das leis tradicionais a novas formas de criminalidade digital. Isso se deve, em grande parte, à incapacidade de muitas normas legais de acompanhar a inovação tecnológica e às novas técnicas de ataque desenvolvidas pelos criminosos cibernéticos.
No contexto brasileiro, o princípio da legalidade, que garante que não há crime sem uma lei anterior que o defina, representa um desafio adicional. A rápida evolução das tecnologias e a emergência de novos tipos de crimes muitas vezes precedem a criação de leis específicas, o que leva à aplicação de crimes correlatos existentes até que a legislação se adapte. A rápida evolução dos criminosos cibernéticos frente a demasiada burocracia legislativa pode ser sinônimo de impunidade.
Além da necessidade de atualização legislativa, a luta contra crimes cibernéticos exige uma abordagem integrada e colaborativa.
A colaboração internacional demostra-se igualmente fundamental, dada a natureza global dos crimes cibernéticos. A harmonização das leis e a cooperação entre países, como exemplificado pela Convenção de Budapeste sobre crimes cibernéticos, são necessárias para enfrentar desafios como a extradição de criminosos, o compartilhamento de informações e a coordenação de investigações transfronteiriças.
Em suma, enfrentar os crimes cibernéticos exige uma abordagem multifacetada que combine a atualização contínua da legislação, a modernização da infraestrutura tecnológica e a cooperação internacional. Somente através de um esforço coordenado e adaptável será possível mitigar os riscos e proteger a integridade e a segurança no ambiente digital. A evolução da legislação e das práticas jurídicas deve acompanhar a inovação tecnológica para garantir que a justiça e a segurança possam ser efetivamente mantidas em um mundo cada vez mais interconectado.
1 LEMOS, Ronaldo. “Marco Civil da Internet: a lei que protege a internet no Brasil”. Revista de Direito Digital, 2014.
2 PINHEIRO, Patrícia Peck. “Direito Digital: O Marco Civil da Internet”. São Paulo: Saraiva, 2016.
3 SARLET, Ingo. “Direitos Fundamentais e Proteção de Dados Pessoais”. Revista Brasileira de Direitos Fundamentais, 2018.
4 DONEDA, Danilo. A proteção de dados pessoais como direito fundamental. Revista de Direito, v. 12, n. 22, p. 97-118, 2019.
5 NUCCI, Guilherme de Souza. “Leis Penais Especiais Comentadas”. 11ª ed. São Paulo: Forense, 2019.
6 SCHNEIER, Bruce. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. W. W. Norton & Company, 2015.
7 MITNICK, Kevin. The Art of Deception: Controlling the Human Element of Security. Wiley, 2001.
8 HADNAGY, Christopher. Social Engineering: The Science of Human Hacking. Wiley, 2018.
9 CAPEZ, Fernando. Curso de Direito Penal. 28. ed. São Paulo: Saraiva, 2021. p. 55
10 GRECO, Rogério. Curso de Direito Penal. 11. ed. São Paulo: Impetus, 2020.
REFERÊNCIAS
CAPEZ, Fernando. Curso de Direito Penal. 28. ed. São Paulo: Saraiva, 2021. p. 55.
DONEDA, Danilo. A proteção de dados pessoais como direito fundamental. Revista de Direito, v. 12, n. 22, p. 97-118, 2019.
GRECO, Rogério. Curso de Direito Penal. 11. ed. São Paulo: Impetus, 2020.
HADNAGY, Christopher. Social Engineering: The Science of Human Hacking. Wiley, 2018.
LEMOS, Ronaldo. Marco Civil da Internet: a lei que protege a internet no Brasil. Revista de Direito Digital, 2014.
MITNICK, Kevin. The Art of Deception: Controlling the Human Element of Security. Wiley, 2001.
NUCCI, Guilherme de Souza. Leis Penais Especiais Comentadas. 11. ed. São Paulo: Forense, 2019.
PINHEIRO, Patrícia Peck. Direito Digital: O Marco Civil da Internet. São Paulo: Saraiva, 2016.
SARLET, Ingo. Direitos Fundamentais e Proteção de Dados Pessoais. Revista Brasileira de Direitos Fundamentais, 2018.
SCHNEIER, Bruce. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. W. W. Norton & Company, 2015.