Notícias
CARLA RAHAL NO ESTADÃO E FOLHA DE S. PAULO
Bolsonaro sanciona lei que endurece pena para crime online
Folha de S. Paulo
O governo Bolsonaro sancionou a lei que altera o Código Penal para endurecer as penas para crimes cibernéticos.
Em vigor a partir desta sexta-feira (28), a lei 14.155 quadruplica a punição para quem invade computadores ou celulares para obter, adulterar ou destruir dados sem autorização ou para instalar vulnerabilidades nas máquinas (como um vírus) para obter vantagem ilícita.
A pena era de três meses a um ano de reclusão, nos regimes aberto ou semiaberto, mais multa. Passou para um a quatro anos de reclusão, em regimes aberto, semiaberto ou fechado, e multa.
A tramitação do projeto ocorre desde 2020 e é uma demanda de Ministérios Públicos e de policiais na linha de frente desse tipo de investigação.
A mudança é na lei Carolina Dieckmann, aprovada em 2012 e que altera o Código Penal. A nova redação também torna o conceito mais genérico, sendo mais fácil aplicá-la em alguns casos.
Na determinação anterior, era considerado crime invadir dispositivo mediante violação indevida de mecanismo de segurança, ou seja, era preciso quebrar uma senha ou burlar algum tipo de barreira digital.
A atualização retira esse trecho e torna o escopo mais abrangente. A partir de agora, apenas a invasão de dispositivo já é ilegal, incriminando quem obtém acesso ao celular alheio por meio de engenharia social, por exemplo, como convencendo uma pessoa a compartilhar sua senha.
Os golpes e ataques digitais cresceram de forma expressiva na pandemia, com aumento de uso da internet para trabalho e ensino. Phishing, clone de WhatsApp, fraudes relativas a cartões de crédito e auxílio emergencial foram recorrentes no Brasil, um dos países com maior incidência de crime cibernético.
O ransomware, em que os criminosos sequestram máquinas, capturam dados e só os liberam aos titulares após pagamento, tende a aumentar neste segundo ano de pandemia, de acordo com análises internacionais de segurança digital. Foi o caso da Embraer, por exemplo, que teve dados vazados na internet após se recusar a pagar a fiança a criminosos.
Especialistas afirmam que essa conjuntura de ameaça eletrônica acelerou o andamento da lei. No último ano, hackers também invadiram os sistemas do STF (Supremo Tribunal Federal) e do STJ (Superior Tribunal de Justiça). Soma-se a isso a sequência de exposições de informações de brasileiros após o chamado megavazamento, em janeiro.
“Tornou-se uma urgência, uma vez que as penas aplicadas eram baixas. Quanto menor a pena, mais rápido prescreve o crime”, diz Carla Rahal Benedetti, sócia do Viseu Advogados e doutora em direito penal.
Segundo ela, muitos crimes dessa esfera eram prescritos pela demora na Justiça. A elevação da pena aumenta o tempo de investigação. Se antes a prescrição era de quatro anos, agora é de oito.
A lei também aumenta de um a dois terços a pena se o crime for praticado com a utilização de servidor fora do território nacional, acrescenta a fraude eletrônica (uso de informações fornecidas pela vítima induzida a erro por meio de redes sociais ou email) ao artigo de estelionato e dobra a pena quando os alvos forem idosos ou vulneráveis.
Em grupos que acompanharam a tramitação da lei houve preocupação de que a norma fosse uma represália a jornalistas ou pesquisadores de segurança digital. Durante a CPI da Covid, Mayra Pinheiro, secretária do Ministério da Saúde conhecida como “capitã cloroquina”, e o ex-ministro da Saúde Eduardo Pazuello afirmaram que um hacker havia invadido o aplicativo do governo TratCov.
Eles se referiam ao jornalista Rodrigo Menegat, que acessou o código-fonte do aplicativo, disponível a qualquer pessoa que usar o inspetor de elementos, prática completamente lícita.
“Não tem relação clara com o TratCov, é uma pauta mais antiga. Mas é importante destacar que antes era preciso violar um mecanismo de segurança e isso foi retirado do texto, torna mais genérico, o que pode gerar interpretações problemáticas”, afirma Bruna Santos, coordenadora de Incidência da Associação Data Privacy Brasil de Pesquisa.
Bolsonaro sanciona lei com penas mais duras para crimes pela internet
Estadão
BRASÍLIA – O presidente Jair Bolsonaro sancionou nesta sexta-feira, 28, lei que torna mais rigorosas as punições para crimes cometidos no âmbito da internet. A pena para invasão de dispositivos ou hackeamento de aparelhos, por exemplo, foi aumentada de um para quatro anos de prisão. Nos últimos meses, sistemas de instituições importantes, como o Supremo Tribunal Federal (STF) e o Superior Tribunal de Justiça (STJ), foram alvo de ataques cibernéticos.
A lei que entrou em vigor nesta sexta aumenta penas para crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet. No caso mais recente de ataque às instituições, em 6 de maio, o presidente do STF, Luiz Fux, suspendeu a contagem dos prazos processuais e o de vigência das sessões virtuais do plenário e das turmas que tiveram início no dia 30 de abril. As apurações indicaram que o acesso não teve o intuito de “sequestro de ambiente” – como ocorreu em episódios envolvendo o Superior Tribunal de Justiça e o Tribunal de Justiça do Rio de Janeiro –, mas, sim, de obtenção de dados.
Em novembro do ano passado, um ataque hacker afetou o sistema do STJ, impedindo que 2.500 decisões monocráticas fossem concluídas e publicadas. Os ministros e assessores da Corte ficaram impedidos até mesmo de utilizar seus e-mails e fazer qualquer movimentação nos processos até segunda ordem. O ataque foi verificado em uma tarde, enquanto ocorriam as sessões de julgamento dos colegiados das seis turmas do STJ. Em razão da tentativa de invasão à rede de tecnologia da informação, o tribunal suspendeu os prazos processuais à época.
O texto sancionado nesta sexta por Bolsonaro altera ainda o Código de Processo Penal para definir a competência em modalidades de estelionato, que passa a ser o domicílio da vítima. Especialista em privacidade digital, Sofia Marshallowitz, bacharel em Direito pela Universidade Presbiteriana Mackenzie e MBA em Segurança Digital pela USP, afirmou que esse trecho da nova lei pode ser de difícil aplicação. Sofia observou que o autor do crime pode decidir usar como alvo pessoas em países cujas jurisdições não tenham punições para crimes cibernéticos.
“Sendo um atacante brasileiro atingindo alguém de fora, podemos cair numa impunidade, como já era anteriormente à modificação da lei. Depende de um acordo de cooperação mútua brasileira com o país do ataque e de uma denúncia recebida pelo Brasil”, afirmou Sofia. “O atacante poderá ser julgado e ter uma sentença que nem o atinja de fato aqui no Brasil, já que não há vislumbre de deportação. E às vezes nem há uma lei consolidada sobre o tema no país onde o ataque ocorreu ou não há esse acordo de cooperação mútua”.
Acordo
No caso do criminoso ser um estrangeiro, vai ser difícil aplicar a lei brasileira sobre outros países. “Sendo a vítima um brasileiro e o atacante um estrangeiro, a questão do acordo de cooperação mútua volta a ser tema central. Se o país do atacante não quiser colaborar, nada irá ocorrer e pode restar um cenário de impunidade”, disse a especialista.
Apesar das críticas, Sofia observou que a nova lei é positiva nos casos em que o criminoso e a vítima são brasileiros. “É uma medida interessante, já que a vítima poderá realizar todo o processo de seu domicílio, ainda que desconheça o local de consumação do estelionato digital, pacificando assim qualquer dúvida sobre competência do caso”, argumentou.
Especialista em Crimes Eletrônicos e Crimes Econômicos, sócia de Viseu Advogados, Carla Rahal Benedetti também afirmou que é preciso firmar cooperações internacionais nesses casos. “Precisamos avançar nessa legislação. Há possibilidade da punição acerca dos crimes cibernéticos. É claro que isso vai ter que estar intimamente ligado a tratados, convenções e regras de direito internacional, bem como a questão de ser o agente que pratica o crime, cidadão brasileiro”, disse Carla. “Se ele for brasileiro, o Brasil de qualquer maneira, pode sim, punir. Se ele estiver fora do Brasil, entra na questão de extradição”.
A justificativa do projeto foi o aumento significativo dos casos de fraudes eletrônicas durante a pandemia do coronavírus. “A sanção presidencial visa tornar a legislação mais rigorosa, a fim de proteger os consumidores e as instituições contra os ilícitos cibernéticos, tendo em vista o quantitativo relevante de prejuízos causados por este tipo de atos criminosos”, afirmou a Secretaria-Geral da Presidência.
Depois de sofrerem com a queda nas receitas, as empresas privadas também começam a enfrentar o novo problema causado pela pandemia. Em alguns casos, as invasões pararam operações inteiras. A Honda, por exemplo, interrompeu a produção durante três dias em junho de 2020, por causa de invasões em seus sistemas. A Rumo Logística, Raízen e Energisa haviam reportado ataques cibernéticos um pouco antes, nos meses de março e abril do ano passado.
A nova lei determina que, no crime de invasão de dispositivo informático, previsto no Código Penal, a pena será de reclusão – podendo ser em regime fechado – de um a quatro anos e multa, punição que pode ser aumentada de um terço a dois terços se da invasão resultar prejuízo econômico. A pena anterior era de detenção, em regime aberto ou semiaberto, de três meses a um ano, e multa.
Se o invasor tomar posse de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, ou controlar remotamente o dispositivo invadido, a pena passará a ser de reclusão, de dois a cinco anos, e multa. Antes, a pena era de reclusão de seis meses a dois anos e multa.
O crime de furto qualificado mediante fraude, por meio de dispositivo eletrônico ou informático, terá pena de quatro a oito anos e multa. A pena poderá ser aumentada em um terço a dois terços se o crime for praticado mediante a utilização de servidor mantido fora do território nacional e majorada de um terço até o dobro, caso a ocorrência seja contra idoso ou vulnerável.
Para o crime de fraude eletrônica a pena também será de reclusão, de quatro a oito anos, e multa, “caso seja cometida com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo”.
Um ataque cibernético também foi usado como justificativa pelo ex-ministro da Saúde, general Eduardo Pazuello, durante depoimento à CPI da Covid. O general foi questionado, na semana passada, sobre o sistema TrateCOV, distribuído a médicos em Manaus, no início de janeiro, para orientar o tratamento precoce com substâncias não recomendadas pela Organização Mundial da Saúde (OMS).
Segundo Pazuello, o sistema foi hackeado. “Um cidadão alterou os dados e colocou na rede. O boletim de ocorrência identificou. Quando descobrimos que foi hackeado, tiramos do ar imediatamente”, disse ele.
Como mostrou o Estadão, mais de 340 médicos de Manaus foram habilitados a usar a plataforma após o lançamento em 14 de janeiro. Uma matéria da TV Brasil da época informava que o programa já estava em uso, em Manaus, e trazia o depoimento de um médico que utilizou o aplicativo. O presidente da CPI da Covid, senador Omar Aziz (PSD-AM) ironizou Pazuello dizendo que o hacker era tão bom que havia colocado o TrateCOV na TV Brasil.