Nossos agradecimentos toda a equipe da DELEGACIA ESPECIAL DE REPRESSÃO DE CRIMES CIBERNÉTICOS do Distrito Federal – BRASÍLIA, na pessoa do Delegado Chefe da DRCC/DPE Polícia Civil do Distrito Federal, Dr. Giancarlo Zuliani, pela confiança em nosso trabalho. Sempre um honra contribuir com Autoridades de Aplicação de Lei e Polícias Especializadas no apoio técnico e na construção de conhecimento ligado à investigação e repressão à criminalidade cibernética. CyberExperts

Os bandidos seduzem os alvos para fazer um verdadeiro terror e tirar o máximo de dinheiro possível das vítimas

Dr. José Milagre participa do FALA BRASIL da TV Record, orientando para um golpe que vem acontecendo e envolve os aplicativos de namoro. Aplicativos de relacionamento tem sido a nova aposta de golpistas. Eles seduzem as vítimas e armam emboscadas para sequestrar e fazer um verdadeiro terror para tirar o máximo de dinheiro possível das vítimas. O núcleo de jornalismo investigativo da Record TV teve acesso a imagens que mostram os criminosos em ação. Acompanhe na reportagem exclusiva de André Azeredo!

Fonte: https://recordtv.r7.com/fala-brasil/videos/criminosos-usam-aplicativos-de-relacionamento-para-armar-emboscada-e-sequestrar-vitimas-30062021

A Blockchain vem servindo de infraestrutura não apenas para transações em criptomoedas e mais recentemente para tokens intangíveis, mas sua mescla com o mercado imobiliário vem proporcionando a criação de inúmeros negócios e startups focadas nas tokenização de imóveis ou da exploração dos mesmos. A tokenização de imóveis vem se aquecendo em todo o mundo e apresenta-se com muitas oportunidades para investidores verem prosperar seu capital, bem como vem permitindo que pessoas até então impossibilitadas de fazer grandes e burocráticos investimentos possam investir em frações imobiliárias.

A tokenização consiste na atividade de se converter moeda fiduciária ou criptomoedas em “tokens” também representados nas wallets e que permitem a securitização de um imóvel, ou seja, a divisão do mesmo em frações que podem ser “vendidas” aos investidores, o que o mercado vem denominando de “security tokens” (Embora no Brasil possam ser considerados non-security tokens, considerando ausência de regulamentação da modalidade). Tokens são possíveis graças à tecnologia blockchain e os smart contracts e sua função é mais do que apenas servir como um valor monetário

Assim, o titular ou proprietário de um token tem nele a garantia da imutabilidade, indeletabilidade e gravação no “livro razão”,  a Blockchain, do código que representa direitos sobre determinado imóvel, podendo revender o referido token. As vendas podem se dar peer- to-peer, mas também nas denominadas Exchanges. A  “tokenized ownership” já é uma realidade em inúmeros países, graças a iniciativas pioneiras que vem se desenvolvendo na área com importante planejamento jurídico neste ambiente de economia compartilhada.

A tokenização se dá, via de regra, na rede Ethereum e segue o padrão ERC-20. Assim, uma administradora de patrimônio ou proprietário, ao decidir tokenizar seu imóvel, irá emitir os tokens que representam frações da propriedade, comumente e de forma lógica, mantendo a propriedade da maioria dos tokens. Estes tokens são únicos. A venda inicial dos tokens é denominada de Security Token Offer (STO) que difere-se dos chamados ICOS (Initial Coin Offer) pois estes não estão ligados a prova de propriedade, mas simplesmente a um valor emitido pela plataforma, comumente associados a “utilities tokens”.

Após a tokenização, que deverá considerar o cenário jurídico do local do imóvel, ocorre a oferta que poderá ser dar via marketplaces intermediários ou mesmo via levantamento de fundos. Assim, tal como imóveis são listados hoje em sites de imobiliárias, já estão surgindo Exchanges e negócios digitais especializados na compra de shares de imóveis. Para constituir uma Alternative Trade System (ATS) é, do mesmo modo, fundamental a avaliação do cenário regulatório local, planejamento jurídico e obtenção de autorizações para listar os referidos tokens. Para startups sem as licenças, uma alternativa jurídica viável é a operação com instituição com autorizações para negociação dos referidos tokens.

Uma manobra muito comum que vem sendo feita em localidades onde imóveis não pode ser diretamente tokenizados é a utilização de entidades legalizadas em localidades onde não se proíbe a tokenização. A exemplo, nos Estados Unidos, é comum que as plataformas de tokenização de imóveis tenham por trás uma Limited Liability Corporation (LLC), e diante da impossibilidade de tokenização direta de um imóvel, cada imóvel é comprado por uma empresa que por sua vez é tokenizada e anuncia os imóveis para vendas. Muitos negócios inclusive, nos Estados Unidos, são criados sem o registro de aprovação da Comissão de Valores Mobiliários dos EUA e do Securities Act, com fundamento em exceções previstas na norma, como a de títulos vendidos por meio de investimentos privados e restritos e não “negociados publicamente”, o que vem gerando discussões acerca da temática já que os marketplaces expõe os referidos imóveis para que interessados comprem frações.

Os benefícios da tokenização de imóveis são inúmeros, e vão desde a atuação desburocratizada à instantaneidade no trade dos shares, onde o proprietário pode em questão de minutos vender sua fração, sem qualquer complicação e com custo abaixo do tradicional. De acordo com o previsto no smart contract, o comprador perceberá periodicamente os proventos da exploração do imóvel. Para proprietários, é considerada uma excelente forma de levantamento de capital sem recorrer a empréstimos burocráticos e juros altos.  Outra questão importante é que como os tokens estão lastreados em imóveis reais, correm menos riscos do que as criptomoedas e ICOS, sujeitas a extrema volatilidade.

Algumas marketplaces já permitem a emissão de tokens de imóveis, bem como a compra de frações em questão de minutos, com liquidez e transparência. A facilidade de comprar uma fração de um imóvel assim como se compra uma fração de uma nova empresa, por meio de “stock tokens” promete transformar o mercado imobiliário global. A tecnologia avança e o cenário regulatório continua ultrapassado.

A regulamentação ligada à tokenização, no entanto, não uníssona, varia de região, razão pela qual é importante a análise jurídica especializada e  prévia acerca do landscape, pois em algumas localidades, podem ocorrer vedações e as taxações podem onerar sobremaneira a tokenização e impedir o negócio. Políticas dos serviços também precisam ser claras sobre a localização dos investidores e possíveis restrições de investimento para determinados países de origem, considerando o cenário anti-lavagem de dinheiro e o KYC (Know your customer), clarificação do ativo subjacente “financeiro” e outros itens que precisam ser verificados.

Parte dos países classificam os securities tokens como sujeitos aos reguladores de valores mobiliários, porém as exceções são específicas para cada regulamento. A avaliação, no entanto, dependerá muito do formato do contrato e modelo do negócio adotado. O planejamento jurídico demonstra-se fundamental para redução de riscos graves que inviabilizem  negócios e prejudiquem investidores.  A mesma atenção deve ser dada ao aspecto tributário.  Existem países que dão tratamento diversos para criptoativos, outros, que consideram todos os ativos como critpomoedas e outros, ainda,  com cenário incerto. Em países com normas que inadmitem a propriedade digital, o fisco poderá considerar a questão como renda, ligadas a ganhos de capital, aplicações com ganhos e perdas.

No Brasil, negócios visionários estão em fase de preparação, o que envolve inúmeros aspectos como compreender as limitações legais, a distinção entre propriedade do imóvel (e suas formalidades previstas no Código Civil) e do token, os ajustes adequados na programação dos smarts contracts, os direitos e obrigações dos compradores, autorizações necessárias, análise tributária e demais itens jurídicos fundamentais para operação alicerçada e segura no mercado de tokenização.

Aspectos fiscais, imobiliários e ligados a valores mobiliários devem considerados na estruturação jurídica de negócios envolvendo security tokens.

Inúmeros modelos de negócios podem se dar com a tokenização, incluindo, mas não se limitando a a) a propriedade do token, onde ocorre o fracionamento de direitos, b) a participação de pessoas jurídicas na propriedade, c) a garantia de divida por meio da propriedade ou o d) direito de rendimento da exploração econômica da propriedade, que permanece na propriedade de uma pessoa jurídica.

Seja para um agente imobiliário, investidor, seja para um proprietário ou administrador patrimonial que deseje realizar a oferta tokenizada de imóveis, é fundamental o planejamento jurídico e a adoção de estratégias avançadas e inovadoras para proteção de seus negócios e setup de fundos ou estruturas confiáveis.  A tecnologia está disponível e o desenvolvimento do ecossistema caminhando rapidamente, eliminado custos e intermediários. Muitas oportunidades e desafios estão por vir com os ativos digitais ligados a imóveis.

‘É Golpe’: veja as fraudes mostradas pelo novo quadro do Fantástico e saiba como se proteger

Acesse: https://g1.globo.com/fantastico/noticia/2021/06/27/e-golpe-veja-as-fraudes-mostradas-pelo-novo-quadro-do-fantastico-e-saiba-como-se-proteger.ghtml

José Antonio Milagre *

A Lei 14.155/2021 alterou a Lei Carolina Dieckmann (12.737/2012) e o Código Penal Brasileiro, endurecendo as penas para os crimes cibernéticos, punindo com até 5 (cinco) anos de reclusão a invasão de dispositivo informático e trazendo novas figuras típicas no crime de furto mediante fraude e estelionato (com o novo tipo “fraude eletrônica”), com penas que podem chegar a 8 anos de reclusão. Porém, mais do que fazer frente à altura da gravidade destes crimes, já levanta opiniões e entendimentos sobre os acréscimos e supressões, sobretudo, acerca da incidência do núcleo do tipo “invadir”, com a subtração da expressão “mediante violação indevida de mecanismo de segurança”.

Neste cenário de supressão da referida expressão, constata-se linhas de entendimentos sobre a temática. A primeira, onde se entende que com a eliminação da expressão “mediante violação indevida de mecanismo de segurança”, o acesso indevido passa a ser criminalizado como “invasão”, já que qualquer usuário de dispositivo informático se encontra protegido, ainda que este esteja totalmente aberto. A segunda, ao contrário, compreende que o fato da supressão da expressão “mediante violação indevida de mecanismo de segurança” não serve de base para tipificar qualquer “acesso indevido” como uma “invasão” punível, considerando a natureza da conduta “invadir” que, necessariamente, pressupõe força, rompimento, atuação sobre um ponto ou barreira. Para esta corrente, a supressão eliminou uma “redundância” no tipo, já que assim como não se mata quem já está morto, não se pode invadir o que está aberto ou não oferece resistência ao ato.

Deveras, um ponto é pacífico: A divergência decorre de nítida omissão do legislador, que perdeu oportunidade de corrigir imperfeições da Lei Carolina Dieckmann, bem como esclarecer em sua exposição de motivos ou justificativa, qual era o escopo de se suprimir a expressão “mediante violação indevida de mecanismo de segurança”. Qual seria a intenção do legislador? Permitir que qualquer acesso indevido seja considerado invasão criminosa, ainda que incida sobre dispositivos totalmente abertos ou, ao contrário, eliminar uma prolixidade, já que a “Invasão” já englobaria o ato de acessar forçosamente e fazer frente sobre uma “barreira”? Se a primeira fosse a intenção, bastaria substituir a expressão “Invadir”, por “Acessar indevidamente”, “Acessar de sem autorização” ou “Entrar ou permanecer”, como é, por exemplo, no tipo do art. 150, violação de domicílio. Poderia ainda, ao invés de simplesmente suprimir a obrigatoriedade dos dispositivos estarem protegidos por mecanismo de segurança, especificar “protegido ou não por mecanismo de segurança”, como aliás, fez em outro trecho da própria Lei 14.155, ao tratar da nova qualificadora do crime de furto mediante fraude “Art. 155 § 4º-B. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo.”

Pelo contrário. O legislador simplesmente “omitiu” a expressão “mediante violação de mecanismo de segurança” possivelmente sem se atentar para o conceito que carrega o verbo “Invadir” e dele é indissociável. Não encontramos documentos ou justificativas dos técnicos que redigiram o projeto e a exposição de motivos cita apenas estatísticas sobre crimes cibernéticos, o que gera um cenário dúbio de aplicabilidade do tipo em comento e que certamente será objeto de debates no campo processual e pericial.

Neste sentido, o presente artigo tem o escopo de fazer uma análise aprofundada sobre os meandros ligados aos tipos, reacender algumas antigas discussões e fazer um contraponto nas ágeis, cômodas e talvez precipitadas visões que surgiram com a nova lei, no que diz respeito à supressão do termo “violação indevida de mecanismo de segurança”. Objetiva ainda fornecer critérios iniciais, elementos técnicos e detalhamentos, que possam servir de base na construção de entendimentos sobre condutas que efetivamente encartem uma “invasão” punível, na formulação de quesitos que possam distinguir um acesso não autorizado e sem esforço algum de um crime de “invasão”, com pena que pode chegar a 5 (cinco) anos de reclusão.

O que é invasão de dispositivo informático?

Qual a diferença entre invadir, violar, acessar indevidamente ou sem autorização. Para chegarmos a um entendimento tecnicamente coerente, podemos analisar o direito comparado e buscar algumas referências neste ambiente.

O Criminal Code Canadense prevê como crime o denominado “usolicited penetration testing”, ou seja a exploração de sistema de TI sem permissão do “owner” para se determinar vulnerabilidades e pontos de fraqueza. Na norma canadense, a invasão de dispositivo informático é tipificada como “fraudulentamente obter, direta um indiretamente, qualquer serviço de informática”. Note-se que a obtenção é no sentido de se acessar indevidamente/ tomar o sistema ou serviço informático. Note-se também que a obtenção precisa ser “fraudulenta”.

342.1 (1) Everyone is guilty of an indictable offence and liable to imprisonment for a term of not more than 10 years, or is guilty of an offence punishable on summary conviction who, fraudulently and without colour of right,

(a) obtains, directly or indirectly, any computer service;

(b) by means of an electro-magnetic, acoustic, mechanical or other device, intercepts or causes to be intercepted, directly or indirectly, any function of a computer system;

(c) uses or causes to be used, directly or indirectly, a computer system with intent to commit an offence under paragraph (a) or (b) or under section 430 in relation to computer data or a computer system; or

(d) uses, possesses, traffics in or permits another person to have access to a computer password that would enable a person to commit an offence under paragraph (a), (b) or (c)

Nos Estados Unidos temos um contexto de leis “anti-contornamento” ou “anti- circumvention”, que são as denominadas, leis que proíbem o contorno de barreiras tecnológicas para uso de um ativo digital. Tal contexto é aplicado no âmbito dos direitos autorais. Está presente, por exemplo, no contexto da Seção 103, da Digital Millenium Copyright Act e pune quem viola barreiras de segurança, de modo a proteger obras intelectuais.  Em termos federais, a Computer Fraud and Abuse Act proíbe o acesso a computador sem autorização ou excedendo as autorizações iniciais conferidas a alguém, sobretudo nos crimes ligados a computadores governamentais. Mas não é só isso.

O CFFA criminaliza o tráfico de senhas, protege cidadão contra ataques de negação de serviço e uso de códigos malicioso e vai além para o crime ligado a invasões de computadores de particulares: Conforme o CFAA, os computadores (algo semelhante aos nossos “dispositivos informáticos”) abrangidos ou abrigados pela lei são os “computadores protegidos”. Apressadamente poderíamos concluir se tratar de computadores com mecanismos de segurança. Veremos em breve que não. Em sua primeira versão, em 1984 não previa a expressão “computadores protegidos”, tendo as emendas de 1996 ampliado o escopo do CFFA, abrangendo qualquer “computador protegido” (LEWIS, 2021). A polêmica, nos Estados Unidos, está ligada a interpretação do que é “exceder um acesso autorizado”. Neste sentido, os Tribunais vêm entendendo que ao conceder acesso ao sistema do computador para fins do emprego, o uso deste acesso não se torna não autorizado, independente da finalidade, a menos que o invasor já tivesse sido demitido. (Estados Unidos v. Valle , 807 F.3d 508 (2d Cir. 2015). Em tal contexto, uma pessoa que foi autorizada a acessar um computador não excedeu o acesso autorizado ao “violar” as restrições do empregador sobre o uso das informações.

No que diz respeito ao acesso indevido, com algumas exceções ligadas ao Governo a Lei Norte-americana eliminou a necessidade de computares estarem com mecanismos de segurança. Na sua seção 18, USC 1030, o CFAA explicita vários exemplos neste sentido:

18 Código dos EUA § 1030 – Fraude e atividades relacionadas em conexão com computadores

(a) Quem –

(2) acessa intencionalmente um computador sem autorização ou excede o acesso autorizado e, assim, obtém-

(C) informações de qualquer computador protegido ;

(4) Conscientemente e com a intenção de fraudar, acessa um computador protegido sem autorização, ou excede o acesso autorizado , e por meio de tal conduta promove a fraude pretendida e obtém qualquer coisa de valor, a menos que o objeto da fraude e a coisa obtida consistam apenas no uso do computador e o valor de tal uso não seja superior a $ 5.000 em qualquer período de 1 ano;

(B) acessa intencionalmente um computador protegido sem autorização e, como resultado de tal conduta, causa danos de forma imprudente ; ou

(C)acessa intencionalmente um computador protegido sem autorização e, como resultado dessa conduta, causa danos e perdas.

Assim, embora a expressão “acessar sem autorização” seja a usada (e não a invasão), em diversos julgados identificamos que a expressão também está associada a “computer tresspassing” ou “invasão de computador”, similar ao verbo da Lei Brasileira. Computador protegido, por sua vez, ao contrário do que parece, nada tem a ver com a segurança do computador, sendo um termo estatutório, ou seja, abrange computadores usados no ou afetando o comércio ou a comunicação interestadual ou estrangeiro de computadores. (JARRET e BAILE, 2015, p.4)

Na prática, qualquer computador comum está sob a jurisdição da lei, incluindo telefones celulares, devido à natureza interestadual da maioria das comunicações pela Internet. Um computador fornecendo um aplicativo “baseado na web” acessível através da Internet satisfaria o requisito de “comunicação interestadual. Até 2008 o crime dependia da caracterização de uma violação de comunição interestadual, o que impedia punição em casos graves onde informações confidenciais ou proprietárias fossem acessadas em um unico estado, o que acontece comumente com os denomiados furtos internos. Este contexto mudou com a a edição da Theft Enforcement and Restsitution Act, que removeu esta exigencia.

O Acesso indevido para obter informações e o acesso indevido para obter informações em um contexto fraudulento

Temos na lei americana, ao contrário da legislação brasileira, dois tipos ligados aos acessos não autorizados:

1. a) O primeiro, previsto no 18 USC 1030 a(2) “Acessing a Computer and Obtaining Information”, onde aqui pune-se o acesso sem autorização (intencional, ou seja, com a intenção de se fazer o acesso indevido) ou com excesso de autorização com a obtenção de informações de computadores protegidos. Trata-se de mera contravenção.

The term “obtaining information” is an expansive one that includes merely viewing information without downloading or copying a file. See S. Rep. No. 99-432, at 6; America Online, Inc. v. National Health Care Discount, Inc., 121 F. Supp. 2d 1255, 1275 (N.D. Iowa 2000). Information stored electronically can be obtained not only by actual physical theft, but also by “mere observation of the data.” Id. The “crux of the offense under subsection 1030(a)(2)(C) . . . is the abuse of a computer to obtain the information.” Id. (Jarret et al, 2015, p. 18)

1. b) O segundo, previsto no 18 USC 1030 a(4) “Acessing to Defraudand Obtain Value”, onde aqui pune-se o agente que acessa conscientemente um computador protegido, sem autorização ou em excesso à autorização, com o intenção fraudar, ou seja, por meio da conduta promova efetivamente a fraude, a menos que o objeto da fraude e a coisa obtida consistam apenas no uso do computador e o valor de tal uso não exceda U$ 5000 em qualquer período de um ano.

Percebam o cuidado em se separar acessos indevidos de invasões fraudulentas. E aqui está uma chave importante para nossas reflexões: A expressão “conscientemente e com a intenção de fraudar” também é obscura nos Estados Unidos e gera muita polêmica, sobretudo pela pouca jurisprudência, o que deixa em aberto a questão para os Tribunais, no entanto, conforme Jarret et al (2015, p. 27), temos que:

“Quando o Congresso adicionou esta subseção em 1986, os comentários de um co-patrocinador do Senado sugeriram que o Congresso pretendia que a seção 1030 (a) (4) punisse as tentativas de roubo de dados valiosos e não punisse o mero acesso não autorizado: Os atos de fraude que estamos tratando na seção 1030 proposta (a) (4) são essencialmente furtos nos quais alguém usa um computador de interesse federal para obter erroneamente algo de valor de outro…. A seção proposta 1030 (a) (4) se destina a refletir a distinção entre o roubo de informações, um crime e mero acesso não autorizado, uma contravenção”.

De maneira que, o crime da seção 1030 (a)(4) estaria ligado aos casos de roubo de informações por meio do acesso como base em um esquema ilegal. Assim, há uma distinção entre “Computer theft” (acesso indevido fraudulento), crime, de “Computer Trespass” (acesso indevido), contravenção, ligado a violação de informações. O Elemento que deve ser demonstrado é a intenção de fraudar. A fraude está ligada a irregularidade, truque, engano, chicane, ou overreaching. Os dados precisam ter utilidade para a fraude.  Neste caso, o acesso ilegal do criminoso ao computador protegido deve se dar para promoção de uma fraude e não, como na lei brasileira, “com o fim de obter informações”. Não se trata, nos Estados Unidos, com o mesmo peso, o acesso para obtenção de informações (como downloads, conversas) do acesso fraudulento (invasão), com fins de prática de fraude. Além disso, no caso do crime de invasão fraudulenta, a informação obtida precisa ser “algo de valor”. Não basta o acesso por mera “satisfação de curiosidade” e acesso de dados sem intenção de fraudar, muito menos acesso “com o fim de…”.

Assim foi o entendimento em Estados Unidos v. Czubinski, 106 F.3d 1069 (1ª Cir. 1997). A mera consulta a informações que não produzam nada de valor não pode ser considerada como um “esquema para fraudar”. A mera consulta não autorizada do rol de informações confidenciais do contribuinte na qual ele não obteve “nada de valor” não pode servir de base para o crime previsto no a18 USC § 1030 (a) (4). O agente aqui acessava rotineiramente informações relacionadas a contribuintes, usando senha válida apesar das regras proibirem este acesso fora das funções. O agente fez várias buscas. Foi processado e condenado. Em recurso, argumentou que não “obteve nada de valor”.  O primeiro circuito concordou com a tese de que o Governo não conseguiu mostrar que a informação era valiosa para o acusado à luz de um esquema fraudulento. Esta é chave. Para a corte, o Governo não foi capaz de provar que ele “pretendia” mais do que mera curiosidade. É preciso, neste tipo penal, provar que os dados obtidos tinham valor para a possível fraude. É preciso provar que o agente pretendia usar as informações para fins fraudulentos. Nos Estados Unidos, Czubinski poderia responder por violação a subseção 1030,(a) 2, ou seja, simplesmente ultrapassou o acesso autorizado e obteve informações.

Porém, não temos um tipo como o 1030 (a) 2 no Brasil. Imagine agora no Brasil, alguém acessando a rede social de outro, olhando algumas conversas, e saindo? Aqui, será processado por invasão de dispositivo informático! E possivelmente condenado! A Lei Brasileira não traz, ao contrário da norte americana, um tipo de acesso indevido, contravenção, e outro para invasão ou acesso indevido fraudulento. Tudo é invasão de dispositivo informático. Faz sentido que a invasão, intencional, a dispositivo sem mecanismo de segurança, com mero fim de “obter informações” (e não alterar, destruir, o instalar vulnerabilidade) seja punido como invasão fraudulenta?

Mas este é um risco real com texto em vigor.

O agente que, conscientemente, com intenção de fraude, acesse um computador protegido sem autorização ou exceda ou acesso autorizado, e por meio de tal conduta, promova a fraude pretendida, obtenha qualquer coisa de valor, responderá pelo crime nos Estados Unidos. Perceba que aqui, não se pune a “intenção (a finalidade), mas a execução da fraude ou obtenção de algo.

Assim foi, lamentavelmente,  com Aaron Schartz, que em 2011 conseguiu obter informações da JSTOR através de servidores do MIT, burlando a proteção. Foi acusado pelo violações da CFAA, cometendo suicídio em 2013.

Brasil: A invasão com o fim de “obter dados ou informações”

No Brasil, assim dispõe o tipo previsto na Lei 14.155:

“Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita”

Ao contrário dos Estados Unidos, no Brasil, o legislador usa o verbo “invadir dispositivo informático de uso alheio” e ainda mantém no tipo “sem autorização expressa ou tácita do usuário do dispositivo”.

Compreendemos que a expressão adequada seria “acesso indevido, não autorizado” ou “entrar contra a vontade de alguém”, como previsto em inúmeros regulamentos penais sobre o tema no mundo. Se mantiveram “Invadir” não podemos comodamente pregar se tratar de todo e qualquer acesso indevido.

Existe, em nosso sentir, uma sensível e indesprezável diferença entre “invasão” e “acesso ilegítimo ou não autorizado” (conquanto algumas cortes no mundo associem as expressões frequentemente). Um acesso não autorizado se perfaz, na hipótese em que alguém entra contra a vontade de alguém, contra o disposto em políticas, termos de uso, acessa sistema ou dispositivo (ainda que inseguro ou sem proteção).

Invadir é um verbo diferente. E não é preciso um exercício teleológico, mas a consulta ao vernáculo. Invadir pressupõe força ou fraude; Invadir é penetrar num determinado lugar e ocupá-lo pela força; apoderar-se, tomar, conquistar; ocupar um lugar de forma maciça e abusiva, é tomar conta de; avassalar, usurpar.

É preciso que a força se dê sobre um ponto de resistência, logicamente. Seja resistência humana, física, tecnológica, ambiental. No entanto, ainda que não haja um ponto “bypassado” e o dispositivo esteja “aberto”, deve-se avaliar o elemento fraude para caracterizar um “ato invasivo”.

Invadir é penetrar hostilmente. O agente que invade, praticando o tipo penal, assim o faz em circunstâncias aqui claramente definidas: a) rompe, acessa fraudulentamente, penetra à força determinado dispositivo; b) ainda que não tenha violado o ativo, que não mais precisa de um “mecanismo de segurança” para estar protegido, o retira da disponibilidade da vítima, ocupa de forma abusiva, toma, tira da vítima, usurpa, remove a vitima da administração ou tenta obter informações fraudulentamente ou que serão usadas (serão próprias) para fraude.

Uma aplicação, por exemplo, que mantém em seus termos de uso ou políticas internas a proibição de acesso por meios não convencionais e um agente que tendo senha para acesso, consegue alterar suas permissões para acessar dados e informações que não poderia, comente acesso indevido, mas não o acesso indevido fraudulento (invasão), a menos que se prove que as ações denotaram o contexto da fraude, a exemplo, praticando o agente alguns elementos do tipo que caracterizam sua intenção de adulterar ou destruir dados, informações ou de instalar vulnerabilidades. No entanto, ao somente obter as informações, caberá ao Estado demonstrar que houve invasão (Ou acesso forçado ou intuito de fraude) e não simplesmente um acesso indevido, com obtenção de informações não consideráveis, sem utilidade, ou não havendo prova de que haveria o uso das mesmas para fraudar.

Da revisão internacional é possível identificar que muitas vezes o acesso indevido é associado à “invasão”. No entanto, verifica-se que muitos países não punem a mera intenção, mas a obtenção da informação ou a ação em decorrência da invasão. Ainda, como no exemplo dos Estados Unidos, o acesso indevido não fraudulento não é punido com o rigor do acesso indevido fraudulento (invasão)

Porém no Brasil não existe esta distinção e acessos indevidos intencionais e sem qualquer finalidade fraudulenta podem ser punido com o rigor de uma invasão criminosa.

Imagine que um trabalhador encontra um pendrive em uma sala de reuniões de sua empresa. Intencionalmente, pega o pendrive, que não tinha nenhum mecanismo de segurança e, com o objetivo de “obter dados e informações” o bisbilhota, navega nas pastas, verifica documentos, olha fotos. Não copia, não adultera, não apaga, não usa indevidamente (não gera indícios desta intenção), não gera nenhum indicio de finalidade fraudulenta. Desconecta e o devolve. Praticou uma invasão? Será processado como criminoso?

Pela Lei Brasileira, ele acaba de praticar todos os elementos do crime de “Invasão de dispositivo informático”. Poderá responder um processo criminal. Assim, de fato, acessou indevidamente ou sem autorização, dispositivo, de uso alheio, sem mecanismo de segurança, e não acessou dados sem querer (tinha dolo), tinha intenção! Mas não estava ali para fraudar, se apossar, fazer mal a ninguém, e não restaram demonstrados elementos de que os dados foram ou seriam usados para fraude. Assim, acessou indevidamente, mas não praticou um acesso indevido fraudulento (invasão). Nos Estados Unidos, diante da previsão de um tipo, condutas como esta são consideradas contravenções, logo delitos de menor potencial ofensivo, e não como “felony”, ou crimes. Aqui, não existe distinção, portanto, neste caso, na ausência de uma contravenção, o agente não poderia ser punido pela invasão do dispositivo informático.

É bem verdade que maciça parte dos acessos indevidos podem se caracterizar invasão ou acesso indevido fraudulento, mas nem todos. Tudo seria resolvido se o Legislador local fosse claro, explicasse sua intenção ou se quisesse proteger os indivíduos de qualquer acesso, substituísse o “invadir” por “acessar indevidamente ou sem permissão”. Não nos parece sensato ignorar o conceito da ação “invadir”, que está ligado a um acesso forçoso ou fraudulento, quando, por exemplo, existem provas de que o agente se vale de pishing ou engenharia social para fazer com que a vitima entregue credenciais para acesso ou tendo-se demonstrada a intenção do uso do acesso indevido para alterar dados no sistema e se beneficiar com as adulterações.

Neste sentido é, aliás, o Code Pénal Français, que também típica a invasão de sistemas informáticos como “O acesso ou permanência fraudulenta em todo ou parte de um sistema automatizado de processamento de dados, com punição de dois anos de prisão e multa de € 30.000. Sempre que este comportamento provoque a supressão ou modificação dos dados contidos nesse sistema, ou qualquer alteração do seu funcionamento, a pena é de três anos de prisão e multa de € 45.000”.

Aqui, o acesso indevido punido é, também, o fraudulento:

Article 323-1 Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’unsystème de traitementautomatisé de données est puni de deuxans d’emprisonnement et de 60 000 € d’amende.Lorsqu’ilen est résultésoitlasuppression ou lamodification de donnéescontenuesdanslesystème, soitunealtérationdufonctionnement de cesystème, la peine est de troisans d’emprisonnement et de 100 000 €d’amende. Lorsquelesinfractionsprévuesauxdeux premiers alinéasontétécommises à l’encontre d’unsystèmedetraitementautomatisé de données à caractèrepersonnel mis enœuvre par l’Etat, la peine est portée à cinqansd’emprisonnement et à 150 000 € d’amende

Nesta seara, para deixar claro que não é qualquer “acesso indevido” que pode ser punido, em comparação, vale analisarmos recente decisão ocorrida nos Estados Unidos da América.

Em Facebook x Power Ventures, após identificar que Power havia criado código para acessar dados de forma não permitida pela plataforma, a autora acionou a Ré, com base no Código Penal da Califórnia, Seçao 502, a acusando de crime de acessar sem permissão dados por “meios automatizados”.

A Eletronic Frontier Foundation, entrou como amicus neste caso. No caso, a corte entendeu que o acesso indevido por “violação a termos de uso” não pode caracterizar o crime, sob o fundamento coerente de que transformar qualquer violação dos termos de uso em crime daria aos sites poder irrestrito de decidir qual conduta é criminosa, deixando milhares de usuários vulneráveis. Por outro lado, a decisão traz importantes conceitos e apresenta que, se do contrário, caso a Requerida alterasse seu IP (fraude) para tentar violar uma barreira tecnológica feita para se fazer cumprir as vedações dos termos de serviço, então sim, se estaria diante do crime de invasão. A decisão também deixa claro que embora a lei preveja a violação de computadores, a invasão de ativos digitais lógicos (que são armazenados em dispositivos) também pode se punida.

Neste sentido, aliás, foi a posição da EFF “Se a medida visa controlar o acesso ou o uso de dados, a evasão é quase certamente criminosa. Mas se a restrição visa meramente impor preferências do proprietário ou termos de serviço a usuários autorizados de outra forma, contorná-la não deve ser um crime.” (EFF, 2020)

Exemplos de condutas

Exemplo 1:

Conjecturemos o agente que está realizando uma pesquisa no Google e se depara com o link.  Ao clicar acessa um FTP ou servidor na NUVEM mal configurado, com arquivos confidenciais, absolutamente aberto, sem qualquer proteção, e neste sentido, intencionamente mesmo, decide entrar, obtém as informações, chega a abrir algumas pastas, acessa dados pessoais, e sai. Seus metadados foram coletados pela plataforma. Dias depois o sysadmin avalia a falha, a corrige, mas vai além e extrai dados dos logs de acesso, onde apresenta- se o IP do agente. O Jurídico faz a quebra de sigilo com base no Marco Civil da Internet e o agente é identificado. A empresa vai a Polícia, se instaura um inquérito, um pedido de busca e apreensão é deferido, os computadores do agente são apreendidos, e lá, de fato, constata-se no histórico o acesso a tal servidor e a “intenção de obter informações”. Deve, deveras, o agente ser punido por invasão de dispositivo informático? Deve ser considerado criminoso? Como este agente vai provar que não tinha a finalidade, já que existem logs de que acessou algumas pastas? De fato, em nossa ótica, não havia o elemento fraude, necessário e ligado à invasão, mas um acesso indevido, não tipificado no Brasil.

Ao que se evidencia, o agente acessou indevidamente e obteve informações por curiosidade do momento. Porém seu acesso não foi à força, não contornou barreiras não usou destreza, não acessou por meio de fraude, com fins fraudulentos e nem mesmo permaneceu  maciçamente ou tomou os ativos dos seus usuários (o que pode ser provado por perícia técnica em informática – sobretudo diante do tempo em que perdurou o acesso).

Exemplo 2:

No caso do Exemplo 1 o agente teve a intenção de obter informações, mas sem elemento fraude. Agora, imagine que do contrário, ao buscar ao GOOGLE tropeçasse em um sistema aberto e acabasse entrando, fechando logo na sequência e não havendo provas da intenção de obtenção de informações (Ex: não explorou os diretórios). Neste caso, igualmente, não haveria crime pela ausência de dolo. Agora, teremos maturidade investigativa para esta distinção?

Exemplo 3:

Imagine que o agente que acessa uma videoconferência alheia e solicita permissão para entrar, intencionalmente e com o fim de obter informações (o que estava sendo discutido na reunião). A vítima, sem adotar critérios de segurança para validar quem solicita, consente, permite, autoriza o acesso de alguém que vem a saber depois era um estranho. Este estranho não invadiu fraudulentamente, não usou de engenharia social. Só pediu para entrar e o pedido foi atendido.O agente obtém e tem acesso a informações sigilosas e leva vantagem com isso. Trata-se de um acesso indevido, mas não houve invasão, para fins do tipo penal. Não se entrou a força, não se contornou barreiras tecnológicas, não usou da fraude, e não houve a ausência de “autorização expressa ou tácita”.  Pediu para entrar e entrou! Autorização expressa, aliás! A conduta pode resvalar em outros tipos, mas não podemos tratar o agente como um invasor!

Exemplo 4:

Conjecturemos o agente que, ao acessar a rede social em um computador de uso comum, percebe que um usuário anterior manteve seu sistema logado (senhas salvas – quase ninguém utiliza este recurso (ironia!)). O agente, dolosamente ou conscientemente, acessa, clica em alguns itens e nos chats, vendo algumas comunicações privadas, fotos protegidas, saindo na sequência. Este agente pode ser considerado invasor ou criminoso pelo fato de acessar indevidamente um sistema informático? Não há, no exemplo, qualquer indício de fraude ou intenção fraudulenta O agente não se beneficiou da informação, não tinha intenção de obter vantagem, não copiou, não tomou a conta trocando as senhas, nenhuma tentativa que caracterize uma evidência de fraude. Nada. Curioso. Trataremos o agente como criminoso? Invasor?

Exemplo 5:

Imagine o colaborador de uma empresa que, tendo assinado o código de conduta e conhecendo regras de controle de acesso ligadas a seu login, sabendo o que não pode acessar, intencionamente começa clicar nas unidades mapeadas, em sua rede, sendo que em uma delas, identifica que a mesma estava sem mecanismo de segurança e obtém informações de um disco mapeado, tendo o acesso registrado nos logs e o colaborador processado. Ele acessou indevidamente, sem autorização, excedeu a autorização que tinha, violou uma política ou norma, e pode ser demitido por isso. Mas ele praticou uma invasão de dispositivo informático? Acessou indevidamente com fim fraudulento?Restou provada por perícia a intenção de fraudar? O que existe são apenas logs de um acesso indevido, sem qualquer outra prova? Entendemos que estes elementos devem ser quesitados por assistentes técnicos, evitando que por quaisquer acessos indevidos, pessoas sejam tratadas como criminosas

Uma proposta sistematizada de critérios para se distinguir o acesso indevido com fim de obter informações fraudulento (invasão) de um acesso indevido ou não autorizado com o fim de obter informações.

Os exemplos simples citados neste trabalho são apenas alguns de tantos possíveis, onde chamamos a atenção dos operadores do direito sobre a necessidade de reflexões pontuais sobre o tema, que exige cautela, sobretudo na dinâmica simplista e cômoda de generalizar ações com fins de enquadramento no crime previsto no art. 154-A do CP. É preciso que quesitos sejam formulados e que a perícia forense digital avalie elementos que demonstrem a “finalidade” da invasão, indícios de fraude e se os dados tinham utilidade para o agente ou não.

Neste sentido, estabelecemos critérios para que autoridades e sujeitos processuais possam apurar se pelo menos um deles se faz presente, na hora de se identificar se o caso concreto trata-se ou não de invasão de dispositivo informático:

Fonte: O próprio Autor

Em nossa proposta, a invasão punível pode ser caracterizada no esforço para que ela ocorra, ou caso este não esteja presente, nos indícios que demonstrem um contexto fraudulento na consumação do ato.

Neste contexto, para a caracterização objetiva do crime de invasão, há a necessidade de que o acesso indevido (círculo verde) cumule uma ou mais das condições dos círculos extremos (círculos vermelhos), condições que poderão ser atualizadas temporalmente e de acordo com outros contextos e inovações tecnológicas. Ainda que apenas um dos critérios dos círculos vermelhos  estejam presentes, continua, logicamente, sendo necessário avaliar se existem provas da finalidade do agente. Se a invasão foi sem esforço, logo não satisfazendo nenhum critério do círculo vermelho à esquerda, é um mero acesso indevido, até ser possível provar a existência de pelo menos um critério do círculo vermelho à direita, para os casos onde a invasão se deu com o fim de se obter informações. Já quando a finalidade é adulterar, destruir dados ou informações ou instalar vulnerabilidades, os indícios já caracterizariam o elemento fraude.

O quadro evidencia que a invasão, especificamente com o fim de obter informações, deve demonstrar elementos de fraude, ou do contrário, se está diante de um “acesso não autorizado”, em nosso sentir sendo demasiado equiparar ao crime, a menos que se altere o verbo do artigo para “acesso não autorizado”.

A substituição de “dispositivo alheio” para “de uso alheio”

O acréscimo da expressão “de uso alheio” ao invés de “alheio” corrige um lapso da Lei 12.737/2012 e que era utilizado por escritórios de defesa para afastar o tipo legal. A ideia da Lei de 2012, estava relacionada a propriedade do ativo e não na posse ou no mero uso.  Assim, vítimas que tinham a devassa de suas redes sociais, servidores na nuvem, discos virtuais, contas, páginas ou dados, a partir de computadores  ou dispositivos que não lhe pertenciam, mas estavam a elas  confiados, emprestados, não estavam protegidas pela norma e não poderiam figurar no polo passivo, pois não eram donas ou proprietárias do ativo.

Imagine o caso em que o agente, invadindo o roteador da residência de um indivíduo (de propriedade do provedor de acesso e em comodato), consegue acesso a informações e dados pessoais. Em tese, antes da correção legislativa, a vítima não poderia figurar como sujeito passivo do crime, já que o roteador invadido não era dela.

Como se fazer prova da “intenção de obter, adulterar e destruir dados”?

Nada muda nesta temática em relação ao que já vínhamos asseverando.  A questão da prova da “finalidade” pode ser demonstrada por meio da perícia técnica em informática. Um perito digital poderá esclarecer muitos pontos, incluindo não só elementos razoáveis que demonstrem a finalidade do agente, mas antes disso, gerar elementos se o acesso indevido tinha contexto fraudulento e constituía uma “invasão” ou não.

É possível, por exemplo identificar se um código tinha instruções de obtenção ou apagamento de dados (destruir) e distingui-lo de uma prova de conceito ou explorador inofensivo, que por exemplo, executava um app na máquina apenas para demonstrar vulnerabilidade do sistema e não continha ofensividade em seu payload (não foi comprovada a finalidade).

Os logs de atividades de cópia, adulteração, exclusão também são importantes indícios e devem estar presentes nos quesitos de autoridades policiais e judiciais. Superada a fase de identificação se houve ou não invasão, caberá a perícia analisar o “modus operandi” e determinar até onde seguiu o acusado, para fins de se apurar, primeiro se o contexto foi fraudulento e segundo qual era sua intenção. Sistemas informáticos podem testemunhar muito a respeito.

Exemplo – destruir ou adulterar

O fim de destruir ou adulterar pode ser demonstrado, por exemplo, quando um log registra uma instrução sql de delete from table ou um “update” em tabelas, mas com erro de sintaxe, ou seja, embora não tenha destruído, não há duvidas que esta era a intenção do agente.

O que é obter informações?

 Já, no que diz respeito ao verbo “obter”, também existem duas correntes.Uma que entende que a obtenção pressupõe posse de dados, captar os dados, adquirir, ser possuidor, baixar, transferir. Para outra linha (comumente acusatória) a obtenção está ligada ao acesso aos dados, ainda que da mera visualização, listagem ou observação em tela.

Para a primeira corrente, a intenção da obtenção só pode ser caracterizada por procedimentos que comprovem que o agente tinha ou  tentou apanhar, levar, captar, colher, copiar informações. Para a segunda corrente, um agente que instrui um “show tables” de uma base de dados, tem acesso aos nomes das tabelas (informações), mas não captura os registros (provavelmente com dados pessoais) não tinha intenção de obter dados.

Em America Online, Inc. v. National Health CareDiscount, Inc., 121 F. Supp. 2d 1255, 1275 (N.D. Iowa 2000) – Rep. No. 99-432,  encontramos o contexto de que  termo “obtenção de informações” se perfaz com a exibição de informações ainda que não haja o download e cópia do arquivo. Deste modo, a intenção de obter informações poderá ser provada pericialmente não apenas por instruções que demonstrem a cópia, o dump, mas também que proporcionaram ao agente a observação dos dados.

Dispositivo informático pode se equiparar a um “software”?

Dispositivo informático é qualquer aparelho informático alheio, capaz, não só de processar (computadores), mas armazenar dados e informações em formato binário. Se considerássemos apenas hardware como dispositivos passíveis de invasão, a Lei não se faria frente às invasões lógicas que ocorrem diariamente.

Por sua vez, podemos definir sistemas informáticos como o conjunto de instruções codificadas em linguagem de máquina, para fazer os dispositivos funcionarem de determinado modo ou para determinadas finalidades. Dispositivos informáticos possuem sistemas informáticos. Seja um sistema de arquivos, um sistema operacional, um código de máquina, um aplicativo. As proteções de um dispositivo hardware  em grande parte das vezes são lógicas, e estão parametrizadas nos sistemas informáticos que estes armazenam. Neste sentido, nos filiamos à interpretação progressiva, atualizando o conceito de dispositivo informático, para fins de proteger também ativos lógicos, como aplicações, e-wallets, contas bancárias online, contas de e-mail  e redes sociais invadidas. Não demais pensar, estas aplicações estão fisicamente em algum local.

Este, aliás, foi o entendimento Estadunidense em United States v. Drew, 259 F.R.D. 449, 457-58 (C.D. Cal. 2009) onde a invasão de um website foi considerada invasão de um computador protegido.

Neste sentido, no Brasil,  foi entendimento do TJDF, vejamos:

APELAÇÃO CRIMINAL. INVASÃO DE DISPOSITIVO INFORMÁTICO. FORMA QUALIFICADA. TIPICIDADE CONFIGURADA. CONDENAÇÃO MANTIDA. DOSIMETRIA. CONSEQUENCIAS DO CRIME. ANÁLISE ESCORREITA. QUANTUM. READEQUAÇÃO. PENA PECUNIÁRIA. EXCLUSÃO. IMPOSSIBILIDADE. REDUÇÃO. PROPORCIONALIDADE COM A PENA CORPORAL. SUBSTITUIÇÃO. POSSIBILIDADE.

I – A expressão “dispositivo informático” não se refere apenas aos equipamentos físicos (hardware), mas também os sistemas, dispositivos que funcionam por computação em nuvem, facebook, instagram, e-mail e outros.

II – O crime previsto no art. 154-A do CP possui dois núcleos de conduta típica não cumulativos: (i) invadir dispositivo informático alheio, com o fim de obter, adulterar ou destruir dados ou informações sem autorização do titular e (ii) instalar vulnerabilidades, visando obter vantagem ilícita. Pela literalidade do dispositivo, a ausência de violação de dispositivo de segurança impede a configuração típica apenas da conduta de invadir.

III – Pratica a conduta tipificada no art. 154-A, §3º, do CP aquele que, sem o conhecimento de sua então namorada, instala programa espião no notebook dela, com o fim de monitorar as conversas e atividades e, diante dessa vulnerabilidade, consegue violar os dispositivos de segurança e, com isso, ter acesso ao conteúdo das comunicações eletrônicas privadas e outras informações pessoais, inclusive diversas senhas.

IV – A constatação de que a conduta do réu causou transtornos de ordem psicológica que excederam a normalidade do tipo justifica a avaliação desfavorável das consequências do crime.

V – Ausente determinação legal acerca do quantum de aumento da pena-base, a par da análise desfavorável de circunstância judicial, a jurisprudência entende adequada a fração de 1/8 (um oitavo) sobre o intervalo entre os limites mínimo e máximo abstratamente cominados no tipo legal.

VI – A pena de multa é sanção que integra o preceito secundário do tipo penal sob exame e de aplicação cogente. Deve, ainda, ser estabelecido observando os mesmos parâmetros utilizados para fixação da pena corporal.

VII – Em se tratando de crime cometido no contexto das relações domésticas, mas sem o emprego de violência ou grave ameaça, admite-se a substituição da pena privativa de liberdade por restritiva de direitos, desde que presentes os requisitos do art. 44 do CP.

VIII – Recurso conhecido e parcialmente provido. 20160110635069APR (0009088-86.2016.8.07.0016) 3ª TURMA CRIMINAL Apelação Criminal – TRIBUNAL DE JUSTIÇA DO DISTRITO FEDERAL E TERRITÓRIOS

Neste caso, alguém que tendo acesso a um dispositivo, instalou keylogger (fraude para acessar indevidamente) e a partir do keylogger obteve credenciais para acessar outros ativos. Entendeu o Tribunal que a instalação do keylogger foi preparatória e sem a qual a invasão não ocorreria. Houve, assim, a necessidade de uma “destreza” ou “fraude”, para se tomar contas, e as credenciais foram obtidas por meio de código malicioso (elemento fraude).

A respeito, nota-se que as invasões não visam o hardware em si, mas o bem que é protegido, que é lógico, é informático, são sistemas e dados. Este é o escopo de proteção. Logo, não fazendo sentido excluir da incidência do art. 154-A, a invasão de sistemas informáticos por serem “softwares” e não o “dispositivo” que os armazena.

E se o dispositivo estiver fora do Brasil?

Como visto, a invasão se dá a dispositivo de uso alheio, e não mais simplesmente “alheio”. Neste contexto, valem-se as regras previstas no Código Penal:

Art. 6º – Considera-se praticado o crime no lugar em que ocorreu a ação ou omissão, no todo ou em parte, bem como onde se produziu ou deveria produzir-se o resultado.          

Art. 7º – Ficam sujeitos à lei brasileira, embora cometidos no estrangeiro:      

1. b) praticados por brasileiro;            
2. 2º – Nos casos do inciso II, a aplicação da lei brasileira depende do concurso das seguintes condições a) entrar o agente no território nacional; b) ser o fato punível também no país em que foi praticado;            

 Com efeito, evidente que inúmeros brasileiros fazem uso diário de sistemas informáticos cujos servidores não estão fisicamente no país. Isso não pode servir de base para afastar a proteção penal. O desafio maior, no entanto, é a apuração, considerando as dificuldades em se obter elementos a partir de rastros e registros de acesso a aplicação de entidades que não estão no País ou mesmo a cediça resistência que é oferecida por provedores de aplicações que atuam no País.

O que é instalar vulnerabilidades para obter vantagem ilícita?

Por fim, insta destacar que perdeu o legislador a possibilidade de fazer uma correção da expressão “instalar vulnerabilidade”, que não nos parece a mais acertada, considerando conceitos basilares segurança da informação ligadas a ativo, ameaça, vulnerabilidade, risco, exploração.

Via de regra, quando que obtêm um acesso indevido, se explora uma vulnerabilidade, que pode ser humana, física, lógica. Explorar uma “brecha” é o iter criminis da invasão. Um dispositivo sem mecanismo de segurança é um dispositivo que já está vulnerável, de alguma forma. O invasor poderá até, após obter acesso, deixar um backdoor, desativar controles, aplicar um keylogger, alterar configurações, um rootkit, ou ativar código malicioso que incida ou exponha outras vulnerabilidades em outros sistemas, mas essa “instalação” não é de vulnerabilidade, mas em verdade, de código ou mesmo parametrização maliciosa, malwares, etc.

Por fim, no que tange a obtenção de vantagem ilícita, muitos asseveram que esta deva ser, necessariamente, financeira. Por outro lado, se analisarmos o crime do art. 154-A, percebemos que não está dentre os crimes contra o patrimônio, mas na seção destinada aos crimes contra a inviolabilidade dos segredos. Portanto, em nosso sentir, a vantagem ilícita decorrente da “instalação da vulnerabilidade” pode ser a violação de privacidade, obtenção de informação privilegiada, acesso a conteúdo íntimo, conhecimento de uma informação estratégica sigilosa, acesso a dados pessoais, em contexto fraudulento e não, necessariamente, uma obtenção financeira ou patrimonial.

Conclusões

Como visto, parte das legislações identificadas tipificam o “acesso não autorizado fraudulento”. Nos Estados Unidos, há dois tipos penais. Um crime para punir o acesso indevido fraudulento, onde as informações são usadas para fraude e uma contravenção, destinados a casos de menor potencial ofensivo, envolvendo o acesso intencional para obtenção de informações em contexto não fraudulento, mas curiosidade e outros casos.

Embora julgados norte-americanos muitas vezes tratem “acessos indevidos” como “invasão”, é clara a distinção entre “acesso indevido” e “acesso indevido para fraude”. No Brasil, não existe um tipo específico para acessos indevidos de menor potencial ofensivo, o que expõe um risco de forçosos enquadramentos de condutas corriqueiras e não fraudulentas em um contexto criminal, o que poderá ensejar muitos inquéritos e processos, sobretudo diante da redação em vigor.

Neste contexto, buscou-se alertar, especificamente, para o acesso não autorizado com fins de obter informações, demonstrando-se que em algumas ações nos parece precipitado tratar indiciados no contexto de invasores e potenciais criminosos. Em que pese grande parte dos acessos indevidos possam ser considerados fraudulentos (invasão), nos parece temerário considerar todo e qualquer acesso intencional não autorizado com fim de obter informações como algo criminoso. Em nossa visão, a “finalidade”, aliás poderá ser substituída com a efetiva comprovação da realização da conduta, ainda que na modalidade tentada.

São muitos os pontos que ainda merecerão atenção e prováveis ajustes, como vem ocorrendo há anos nos Estados Unidos.

Acertada, em nossa ótica a substituição da expressão “dispositivo alheio” para “de uso alheio”, protegendo pessoas que possuem “contas” em dispositivos que não são seus. Identificado também que a interpretação progressiva em considerar dispositivo um sistema informático é, inclusive, tendência jurisprudencial. Por fim, parece-nos correto que a finalidade de obtenção de vantagem ilícita diante da “instalação de vulnerabilidade” possa ser uma vantagem de ordem não patrimonial.

Sem intenção de estabelecer um entendimento pétreo sobre o tema, mas fomentar reflexões e gerar alertas, considerando que que enxergamos diferenças entre “acessar indevidamente” e “invadir”, apresentou-se um gráfico de critérios para identificação da conduta criminosa, o que enalteceu o “acesso indevido com fim de obter informações e dados” como conduta que, em nosso sentir, se não identificado pelo menos um elemento ligado a fraude, não pode ser considerado crime. A proposta de critérios é dinâmica, poderá ser atualizada diante da evolução dos entendimentos, regulatória e tecnologias.

Evidenciou-se, por fim, que parte da problemática poderia ser endereçada, se o ordenamento jurídico contemplasse o “acesso não autorizado com o fim de obter informações” e o tratasse diferentemente da “invasão (acesso fraudulento) não autorizado com o fim de obter informações”, tal como identificado nos Estados Unidos.

Outra alternativa seria destacar ou interpretar no tipo penal do art. 154-A,que que a invasão com o fim de obter informações deve ser algo a mais do que isso, mas ocorrer “com o fim de obter informações para fraude ou obtenção de vantagem ilícita” (expressão já prevista para o caso da “instalação de vulnerabilidade”). Deste modo, excluir-se-ia do tipo inúmeras hipóteses e exemplos que aqui citamos, dentre outros, característicos da informática, corriqueiros e que infelizmente poderão conduzir pessoas com atos intencionais de menor potecional à responderem ou serem processados por crimes informáticos.

Enquanto esta distinção não é legislativa (e isto pode demorar) caberá às autoridades, advocacia e ao Poder Judiciário a construção de entendimentos e interpretações, com cautela e debate, tal como ocorreu nos Estados Unidos, mais avançado nas discussões de entendimentos, que também enfrentou acirradas disputas, onde desde 1986 a Lei de Crimes de Computadores vem sendo emendada e entendimentos jurisprudenciais emanados suprindo as lacunas e controvérsias, alguns, inclusive, recentíssimos (VAN BUREN v. UNITED STATES (2020)) No Brasil, está-se apenas no início das construções dos entendimentos e receamos que muitas injustiças ocorram até esta maturidade gradualmente ocorrer.

BIBLIOGRAFIA

Cybersecurity Laws and Regulations 2021. Disponível em <https://iclg.com/practice-areas/cybersecurity-laws-and-regulations/canada> Acesso em 12 mai. 2021.

Facebook Inc. v. Power Ventures Inc el al. Disponível em <https://digitalcommons.law.scu.edu/cgi/viewcontent.cgi?article=1009&context=historical> Acesso em 30 Jun. 2021.

HOFMANN, Marcia. Court: Violating Terms of Service Is Not a Crime, But Bypassing Technical Barriers Might Be. Disponível em <https://www.eff.org/deeplinks/2010/07/court-violating-terms-service-not-crime-bypassing> Acesso em 25. Jun. 2021.

JARRET, H. Marshall et al. Prosecuting Computer Crimes Computer Crime and  Intellectual Property Section Criminal Division. Disponível em <https://www.justice.gov/sites/default/files/criminal-ccips/legacy/2015/01/14/ccmanual.pdf> Acesso em 28 jun. 2021.

Justice Law Web. Offences Against Rights of Property (continued). Disponível em <https://laws-lois.justice.gc.ca/eng/acts/c-46/page-77.html#docCont> Acesso em 30 Jun. 2021.

LEWIS, Shari Claire. ‘Unauthorized Access’ Can Be Key in Computer Fraud Cases. Disponível em <https://www.rivkinradler.com/publications/unauthorized-access-can-be-key-in-computer-fraud-cases/> Acesso em 30 jun. 2021.

Penal Code. With the participation of John Rason SPENCER QC. Disponível em < https://www.legislationline.org/download/id/3316/file/France_Criminal%20Code%20updated%20on%2012-10-2005.pdf> Acesso em 10 mai. 2021.

ROBERTS, John Jeff. Facebook Can Use Controversial Law to Punish Spammy Startup, Court Rules. Disponível em<https://fortune.com/2016/07/12/facebook-cfaa/> Acesso em 29. jun. 2021.

VAN BUREN v. UNITED STATES. Disponível em <https://www.supremecourt.gov/opinions/20pdf/19-783_k53l.pdf> Acesso em 29 jun. 2021.

*José Antonio Milagre. Diretor da CyberExperts. Advogado e Perito Forense em Informática. Mestre e Doutor em Ciência da Informação pela UNESP. Autor de dois livros pela Editora Saraiva (Marco Civil da Internet: Comentários a Lei 12.975/2014 e Manual de Crimes Informáticos). Diretor do Instituto de Defesa do Cidadão na Internet – IDCI Brasil – http://www.youtube.com/josemilagre

** PROIBIDA a CÓPIA OU REPRODUÇÃO SEM AUTORIZAÇÃO EXPRESSA DO AUTOR. Este artigo será atualizado periodicamente.

Versão 1 – 29/06/2021

Entenda os detalhes da Apuração acessando https://noticias.r7.com/tecnologia-e-ciencia/conheca-a-ferramenta-usada-para-recuperar-os-prints-do-caso-henry-09042021 

Já se imaginou em uma situação em que você estava na rua e, durante uma busca, os policiais te obriguem a desbloquear o celular?

A questão tem gerado debates, tanto nas cortes brasileiras como dos Estados Unidos, conforme detalharemos a seguir.

Nos Estados Unidos, durante o início das discussões se a conduta dos policiais violava a quinta emenda, que veda a autoincriminação, os tribunais começaram a entender que as impressões digitais e o reconhecimento facial não se enquadravam no conceito de senha.

É posição da EFF (Eletronic Forntier Foundation) que a descriptografia forçada, seja por senha biométrica ou alfanumérica, deve ser protegida pela quinta emenda porque a descriptografia é sempre testemunhal. A recomendação dos especialistas é que jamais se utilizasse apenas a biometria, mas uma senha forte.

No entanto, o entendimento dos tribunais está mudando e alguns julgados já entendem que obrigar o desbloqueio de um dispositivo usando dados biométricos é uma violação dos direitos da quinta emenda. Assim, os mecanismos biométricos de login passam a ter a mesma proteção. Juízes já entendem que impressões digitais e varreduras de rostos não são o mesmo que evidências físicas e, portanto, policiais não têm o direito de forçar suspeitos a se incriminarem.

Nesse sentido, em 2014, no caso Riley vs. Califórnia, a Suprema Corte dos Estados Unidos decidiu pela necessidade de prévia ordem judicial para que a polícia pudesse validamente acessar o conteúdo de aparelhos celulares apreendidos em buscas incidentais e prisões.

Também em 2019, numa decisão histórica, uma juíza da Califórnia determinou que as autoridades não podem obrigar suspeitos a desbloquear o seu próprio smartphone usando impressão digital ou reconhecimento facial. Ainda, declarou que o governo não tinha o direito, mesmo com um mandado, de forçar os suspeitos a se incriminarem, destrancando seus dispositivos com suas características biológicas.

Em relação ao ato de forçar os fabricantes a destravarem os dispositivos, é importante destacar que a Apple e outros fabricantes têm resistido ao desbloqueio forçado.

Em 2016, o FBI, por meio de uma ordem judicial, obrigou a Apple a desbloquear o iPhone de Syed Rizwan Farook, o atirador falecido em um ataque terrorista em dezembro de 2015 em San Bernardino, na Califórnia (EUA).

A Apple alega que utiliza a criptografia para proteger os dados pessoais dos clientes porque acredita que é a única maneira de manter suas informações seguras.

Tim Cook, CEO da Apple, em uma carta aberta (https://www.apple.com/customer-letter/), diz que “não tem simpatia por terroristas”, e que a Apple, normalmente, coopera com pedidos oficiais para dados aos quais ela tem acesso.Contudo, o FBI quer que a Apple faça uma nova versão do sistema operacional do iPhone, contornando vários recursos de segurança importantes, e o instale em um iPhone recuperado durante a investigação.

No Brasil, o tema também já chegou nas cortes.

O Supremo Tribunal Federal, iniciou a discussão do Tema 977 da Repercussão Geral: “aferição da licitude da prova produzida durante o inquérito policial relativa ao acesso, sem autorização judicial, a registros e informações contidos em aparelho de telefone celular, relacionados à conduta delitiva e hábeis a identificar o agente do crime”. O tema está em discussão no Recurso Extraordinário nº 1.042.075, da relatoria do ministro Dias Toffoli, que ainda não foi julgado.

O caso vem do Rio de Janeiro, onde o Tribunal de Justiça absolveu acusado por considerar ilícita a prova produzida após apreensão de seu telefone e acesso ao registro de chamadas e contatos, sem ordem judicial.

No STF, o relator Dias Toffoli entendeu que é lícita a prova obtida com o acesso a registro telefônico ou agenda de contatos do celular mesmo sem autorização judicial, por não configurar ofensa ao sigilo das comunicações, à intimidade ou à privacidade do acusado.

Contudo, há divergência já que os ministros Gilmar Mendes e Edson Fachin entenderam que a verificação dos dados contidos nos celulares depende de “prévia decisão judicial que justifique, com base em elementos concretos”, a necessidade e adequação da medida, bem como “delimite a sua abrangência”.

O caso, no entanto, não enfrenta, diretamente, o acesso forçado de policiais à senha ou a coação para que o suspeito destrave o equipamento.

No Superior Tribunal de Justiça, no Habeas Corpus nº 89.981/MG, a corte entendeu que o acesso a mensagens de WhatsApp, sem autorização judicial, fere o inciso X do art. 5º da Constituição Federal, e no caso determinou o desentranhamento das conversas do mensageiro dos autos.

No mesmo sentido, o STJ decidiu no Recurso em Habeas Corpus nº 101.119/SP, em dezembro de 2019:

RECURSO EM HABEAS CORPUS. TRÁFICO DE DROGAS. PRISÃO EM FLAGRANTE.ACESSO A DADOS CONTIDOS NO CELULAR DO RÉU. AUSÊNCIA DE PRÉVIA AUTORIZAÇÃO JUDICIAL. ILICITUDE DAS PROVAS OBTIDAS. RECURSO EM HABEAS CORPUS PROVIDO. 1. Os dados armazenados nos aparelhos celulares – envio e recebimento de mensagens via SMS, programas ou aplicativos de troca de mensagens, fotografias etc. -, por dizerem respeito à intimidade e à vida privada do indivíduo, são invioláveis, nos termos em que previsto no inciso X do art. 5º da Constituição Federal, só podendo, portanto, ser acessados e utilizados mediante prévia autorização judicial, com base em decisão devidamente motivada que evidencie a imprescindibilidade da medida, capaz de justificar a mitigação do direito à intimidade e à privacidade do agente. 2. No caso, por ocasião da própria prisão em flagrante – sem, portanto, a prévia e necessária autorização judicial -, o celular do réu foi apreendido, desbloqueado e nele verificada a existência de mensagens de texto que indicavam prévia negociação da venda de entorpecentes, sem, portanto, a prévia e necessária autorização judicial. A autorização do juiz deferindo a quebra do sigilo das informações e das comunicações (como aplicativos, fotografias e demais dados armazenados nos aparelhos de telefonia apreendido) somente foi feita em momento posterior, já na audiência de custódia e, mesmo assim, sem nenhuma fundamentação concreta que evidenciasse a imprescindibilidade da medida. 3. Pelos documentos constantes dos autos, não se verifica nenhum argumento ou situação que pudesse justificar a necessidade e a urgência, em caráter excepcional, de as autoridades policiais poderem acessar, de imediato (e, portanto, sem prévia autorização judicial), os dados armazenados no aparelho celular do recorrente.Ao contrário, pela dinâmica dos fatos, o que se depreende é que não haveria nenhum prejuízo às investigações se os policiais, após a apreensão do telefone celular, houvessem requerido judicialmente a quebra do sigilo dos dados nele armazenados. 4. A denúncia se apoiou em elementos obtidos a partir da apreensão do celular pela autoridade policial, os quais estão reconhecidamente contaminados pela forma ilícita de sua colheita. Não é possível identificar, com precisão, se houve algum elemento informativo produzido por fonte independente ou cuja descoberta seria inevitável, porquanto o contexto da abordagem do ora recorrente aliado à quantidade de drogas apreendidas e aos dados obtidos por meio do acesso ao celular do agente é que formaram a convicção do Parquet pelo oferecimento de denúncia pela possível prática do crime previsto no art. 33, caput, da Lei n. 11.343/2006. 5. A própria narrativa da dinâmica dos fatos coloca sob dúvida o “consentimento” dado pelo réu aos policiais para o acesso aos dados contidos no seu celular, pois é pouco crível que, abordado por policiais, ele fornecesse voluntariamente a senha para o desbloqueio do celular e o acesso aos dados nele contidos. 6. Recurso em habeas corpus provido, para reconhecer a ilicitude das provas obtidas por meio do acesso ao celular do recorrente, bem como de todas as que delas decorreram e, consequentemente, anular o Processo n. 0001516-27.2018 ab initio, sem prejuízo de oferecimento de nova denúncia, desde que amparada em elementos informativos regularmente obtidos. Em consequência, fica determinado o relaxamento da prisão cautelar imposta ao réu, por excesso de prazo.

(RHC 101.119/SP, Rel. Ministro ROGERIO SCHIETTI CRUZ, SEXTA TURMA, julgado em 10/12/2019, DJe 13/12/2019)

É importante mencionar que o Marco Civil da Internet (Lei nº 12.965/2014), que estabelece os princípios, garantias e deveres para o uso da internet no Brasil, dispõe, no art. 7º, que: “O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; II – inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; III – inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial.”

Na persecução penal, o acesso a dados pessoais de indiciados demonstra-se importante, principalmente nos crimes praticados por organizações criminosas. Essa situação, inclusive, é uma exceção da aplicabilidade da Lei Geral de Proteção de Dados (LGPD), que prevê, nos termos do art. 4º, III, que a Lei não se aplica ao tratamento de dados pessoais realizado para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

Por outro lado, como visto, apesar da LGPD não se aplicar, deverão ser observadas as normas constitucionais e processuais penais. Neste sentido, não nos parece lícito que policiais não só acessem conteúdos privados em dispositivos móveis, sem ordem judicial expressa, como também que constranjam ou forcem um indiciado a destravar o equipamento para fins de acesso ao conteúdo ali armazenado.

REFERÊNCIAS

https://www.forbes.com/sites/thomasbrewster/2019/01/14/feds-cant-force-you-to-unlock-your-iphone-with-finger-or-face-judge-rules/?sh=1f66cf842b76

https://gizmodo.uol.com.br/fbi-ajuda-apple-atirador-base-naval-eua/#:~:text=Em%202016%2C%20o%20FBI%20conseguiu,%2C%20na%20Calif%C3%B3rnia%20(EUA)

https://portal.stf.jus.br/processos/detalhe.asp?incidente=5173898

AUTORES

JOSÉ ANTÔNIO MILAGRE

(https://app.exeed.pro/holder/badge/55319) Data Protection Officer (DPO) EXIN. Pesquisador em direito e dados do Núcleo de Estudos em Web Semântica e Análise de Dados da USP (Universidade de São Paulo). Mestre e Doutorando em Ciência da Informação pela UNESP. Pós Graduado em Gestão de Tecnologia da Informação. Advogado com atuação em Direito Digital. Perito Judicial em Informática e Proteção de Dados. Presidente da Comissão de Direito Digital da Regional da Vila Prudente da OAB/SP. Autor de dois livros pela Editora Saraiva (Marco Civil da Internet: Comentários à Lei 12.975/2014 e Manual de Crimes Informáticos).

LAURA SECFÉM RODRIGUES

Advogada. Pós-graduanda em Direito, Tecnologia e Inovação com ênfase em proteção de dados, no Instituto New Law. Graduada em Direito pelo Centro Universitário de Bauru/SP, mantido pela Instituição Toledo de Ensino (ITE).

EMILY LUCILA DE OLIVEIRA

Consultora especializada em Privacidade e Proteção de Dados. Gerente de Direito Digital na José Milagre & Associados. Atuação em assessment e planos de adequação para empresas e órgãos públicos do Brasil, Vice-Diretora do IDCI – Instituto de Defesa do Cidadão na Internet, entidade focada na preservação dos direitos dos usuários de internet e titulares de dados pessoais.

COMO COMECEI A ATUAR ÁREA?

Atuo com perícia em informática há 21 anos. Tive o prazer de aprender muito com grandes nomes na área, pessoas pioneiras que nunca se negaram em compartilhar conhecimento. Sinto-me no dever de contribuir com os jovens interessados na área de digital forensics ou em que desejam se tornar um perito digital.

Atualmente, coordeno Pós-graduações no tema e ministro cursos de extensão em ferramentas open source e proprietárias para computação forense.Além disso, atuo com perícias judiciais e administrativas em todo o Brasil e tenho um time de firstresponders e peritos para atuar em todos os casos que temos.

Novos e desafiadores casos são apresentados semanalmente. Não foi fácil iniciar na área, busquei certificações, fiz especialização, mestrado e sou doutorando na área de ciência da informação e tecnologia, mas, também, me especializei em Direito.

Hoje concluo que o perito digital não pode ser apenas um técnico, muito menos o jurista. É preciso ter conhecimentos de projetos, ter especialidade em conduzir o processo de perícia, avaliando os interesses e dados das partes, mediar e ser um profundo conhecedor da Ciência da Informação.

A área é incrível e apaixonante, mas o profissional que não sabe lidar com a rotina e falar a linguagem forense do destinatário do trabalho, que é o JUIZ (em perícias judiciais), não consegue atuar por muito tempo e acaba limitando seu campo às perícias internas ou corporativas e assistência técnica.

Ser perito forense é mais do que conhecer a técnica. É coordenar os fluxos de informação do caso, transformar artefatos em evidências e ser um expert witness, defendendo tecnicamente o cliente, com a persuasão necessária.

Vamos lidar com advogados e o sistema judiciário, sendo que conhecer estas relações é fundamental. E, principalmente, a nossa missão é auxiliar o juízo no entendimento da questão técnica controvertida ou mesmo ajudar as partes a lograrem êxito em suas ações e processos judiciais, que envolvam tecnologia.

QUAIS SÃO AS NORMAS E BOAS PRÁTICAS SOBRE COMPUTAÇÃO FORENSE

Quando comecei, havia apenas recomendações da SWGDE, IOCE, um manual muito importante da SANS (anote, é referência em computação forense). Hoje, temos o NIST, que testa ferramentas forenses e aborda melhores práticas há 14 (catorze) anos. Também, temos um guia interessante da União Europeia, chamado “Best Practice Manual fottheForensicExaminationof Digital Technology”,a RFC 2227, e interessantes artigos publicados, como este http://ieeexplore.ieee.org/document/6274340/?reload=true

Existe, atualmente, uma família de normas ISO relacionadas à computação forense, que devem ser observadas pelos profissionais, sendo elas:

• ISO/IEC 27037 concerns the initial capturing of digital evidence.This standard offers guidance on the assurance aspects of digital forensics e.g. ensuring that the appropriate methods and tools are used properly.
• ISO/IEC 27041 offers guidance on the assurance aspects of digital forensics e.g. ensuring that the appropriate methods and tools are used properly.
• ISO/IEC 27042 covers what happens after digital evidence has been collected i.e. its analysis and interpretation.
• ISO/IEC 27043 covers the broader incident investigation activities, within which forensics usually occur.
• ISO/IEC 27050 (in 4 parts) concerns electronic discovery which is pretty much what the other standards cover.
• British Standard BS 10008:2008 “Evidential weight and legal admissibility of electronic information.

Além disso, o profissional deverá conhecer as normas e regulamentos vigentes em sua localidade, bem como as normas processuais, sobretudo em relação a coleta e produção válida de provas, aplicada aos meios digitais. Um perito que desconhece os limites de sua atuação pode causar grandes danos às partes.

AUTORES, ARTIGOS E PESQUISADORES INTERNACIONAIS ESSENCIAIS

MARK REITH, também, tem um artigo essencial para quem pretende trabalhar na área, denominado “Anexaminationof digital forensics models”, em que ela faz um comparativo sobre as disciplinas e metodologias de perícias na área: https://www.just.edu.jo/~Tawalbeh/nyit/incs712/digital_forensic.pdf.

GARFINKEL escreveu um artigo indispensável a todos os futuros peritos em informática, qual seja, Digitalforensicsresearch: The next 10 years.

MORIOKA publicou em 2016 um importante artigo sobre computação forense em nuvem, área da perícia digital que vem crescendo muito: https://ieeexplore.ieee.org/document/7568909.

MILAGRE e CAIADO, publicaram um importante artigo sobre Computação Forense na em “Cloud Computing” (Desafios e melhores práticas – ICoFS-2013): https://www.forensicfocus.com/articles/current-challenges-in-digital-forensics/.

SOTYANOVA et al, escreveram importante artigo sobre os desafios e abordagens da forense em Internet das Coisas: https://ieeexplore.ieee.org/document/8950109.

NHIEN-NA LE-KHAC et al, tratam dos desafios da computação forense em veículos inteligentes: https://www.sciencedirect.com/science/article/abs/pii/S0167739X17322422.

Estes são alguns artigos estruturais, mas o profissional deve estar sempre atento à produção científica na área.

Não tenho dúvida que o profissional e auditor em informática forense de sucesso será aquele que não sejaum mero “Operador de Ferramentas”. Mas será aquele que conheça as técnicas aplicadas pelas ferramentas e, principalmente, as teorias da informação por trás de um objeto de análise. Por isso, publiquei um artigo, com meu orientador denominado: “As contribuições da Ciência da Informação na perícia em Informática no desafio envolvendo a análise de grandes volumes de dados – Big Data”, publicado na UFPB (https://periodicos.ufpb.br/index.php/itec/article/view/22846). É leitura basilar.

Estes são importantes aportes teóricos e basilares para iniciar uma consultoria em perícia digital, que, com certeza, trarão a base para outras leituras mais específicas.

CADEIA DE CUSTÓDIA

Recentemente, o Código de Processo Penal, aplicado quando da realização de perícias na área criminal, sofreu profundas alterações em razão do advento da Lei nº 13.721, de 2018, conhecida como Pacote Anticrime.

Agora, há a descrição da cadeia de custódia, isto é, o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio coletado em locais ou em vítimas de crimes, para rastrear sua posse e manuseio a partir de seu reconhecimento até o descarte (art. 158-A). Os artigos 158-B e seguintes do Código de Processo Penal disciplinam a cadeia de custódia e deverá ser também observado pelo perito digital.

O QUE FAZ O PERITO DIGITAL?

A função da perícia digital ou forense digital, carreira que mescla a formação jurídica com a tecnologia da informação é reconstruir o passado, constatar a materialidade e apurar a autoria de conflitos, fraudes, furtos e agressões que são cometidas por intermédio de dispositivos informáticos e telemáticos, como computadores, notebooks e dispositivos móvel celular.

A ciência que possui, aproximadamente, dezenove anos no país, antes era destinada apenas a auxiliar a criminalística na atuação de crimes eletrônicos, agora passa a ser considerada uma área corporativa, ligada a segurança da informação, governança, risco e conformidade, em razão do crescente número de fraudes informática cometidas no âmbito corporativo.

Cumpre destacar que são crescentes as infrações cometidas sob o suposto anonimato virtual. Contudo, as pessoas ainda insistem em classificar a perícia digital ou forense computacional como mero resgate científico de dados ou clonagem de discos, o que é uma premissa incorreta.

QUAL É O CAMPO DE ATUAÇÃO?

No que se refere às áreas de atuação, o perito digital pode atuar na área pública ou privada.

Para atuar na área pública, o profissional pode peticionar em juízo sua habilitação que será ou não deferida pelo juiz. Em São Paulo, a norma que regulamenta a perícia é o Provimento nº 2306/2015. Lembrando que o peticionamento dos peritos já é realizado pela via eletrônica, razão pela qual o perito precisa conhecer sobre PROCESSO ELETRÔNICO.

Em algumas comarcas, pode auxiliar o Ministério Público e Delegacias não especializadas, necessitando apresentar, em petição escrita instruída de curriculum, os antecedentes criminais e casos que atuou.

Além disso, o perito digital pode atuar como assistente técnico das partes em juízo.

Ainda, há a possibilidade de ser um perito policial, integrante do Instituto de Criminalística dos Estados ou da Polícia Federal, sendo que o ingresso é somente mediante concurso.

Por sua vez, na área privada, os profissionais de forense corporativa normalmente integram uma equipe multidisciplinar composta por profissionais da área jurídica e técnica, de nível estratégico e gerencial, e que estão inter-relacionados com o Time de Resposta a Incidentes da Empresa, previsto na norma ISO 27001.

Importante destacar, ainda, que a recém publicada norma ISO 27701, que estabelece o Sistema de Gestão da Privacidade da Informação, ratifica em seu item 6.13.1.17 as diretrizes da ISO 27002, no que diz respeito a manutenção de processos claros de coleta de evidências:

“Convém que procedimentos internos sejam desenvolvidos e seguidos quando tratando de obter evidências para os propósitos de ações legais ou disciplinares.

Geralmente os procedimentos para evidência fornecem processos de identificação, coleta, aquisição e preservação de evidências, de acordo com diferentes tipos de mídia, dispositivos e situação dos dispositivos, por exemplo, se estão ligados ou desligados. Convém que os procedimentos levem em conta:

a) a cadeia de custodia;

b) a segurança da evidência;

c ) a segurança das pessoas;

d ) papéis e responsabilidades das pessoas envolvidas;

e )competência do pessoal;

f) documentação;

g) resumo do incidente.

Quando disponível, certificações ou outros meios de qualificação de pessoal e ferramentas são buscados, para aumentar o valor da evidência preservada.

Evidência forense pode ir além dos limites da organização ou da jurisdição. Em tais casos, convém que seja assegurado que a organização tem direito de coletar as informações requeridas como evidência forense. Os requisitos de diferentes jurisdições podem ser considerados para maximizar as chances de admissão ao longo das jurisdições relevantes.”

Assim, o perito forense computacional também pode atuar nas áreas relacionadas à proteção de dados pessoais e segurança da informação, buscando solucionar problemas relacionados a incidentes, como vazamento da dados, na identificação do motivo e da autoria.

Vale ressaltar que nem tudo na perícia são crimes informáticos. Hoje o perito pode atuar com:

a) Valoração de ativos digitais;

b) Apuração de autoria de fraudes;

c) Análise de contrafações de sistemas e softwares;

d) Comparação de softwares;

e) Análise de controvérsias em implementações de sistemas;

f) Perícias envolvendo concorrência desleal;

g) Perícias envolvendo uso indevido dos ativos de TI;

h) Fraudes em meios de pagamentos;

i) Atuação em processos trabalhistas;

j) Controvérsias em relações de consumo na web;

k) Análise de sanitização de bases de dados;

l) Controvérsias envolvendo proteção de dados pessoais.

FORMAÇÃO EM PERÍCIA DIGITAL

Em relação à formação do perito digital, a legislação nacional não exige formação específica em tecnologia, sendo que no novo Código de Processo Civil até a expressão “nível universitário” fora reprimida. Agora, conforme o art. 156 do novo Código de Processo Civil, os peritos serão nomeados entre os profissionais legalmente habilitados.

No entanto, isso não significa “carta” branca para aventureiros, pois os tribunais avaliarão, periodicamente, três fatores:

a) formação profissional: conjunto de formações do perito para atuação na área, sendo que aqui contam graduações, pós-graduações e certificações;

b) atualização do conhecimento: o quão atualizado o profissional se encontra, o que pode ser demonstrado com cursos e certificações recentes;

c) experiência: o que pode ser quantificado pelo número de trabalhos técnicos já realizado.

A despeito do que está previsto em lei, é imprescindível um conhecimento multidisciplinar, a fim de evitar que erros sejam homologados pelos juízes e cortes brasileiras, bem como a produção de laudos superficiais, que geram quesitos a serem explorados por bons advogados em Direito Digital, que irão destituir as provas e, principalmente, cooperar com a impunidade. Precisamos, realmente, de pessoas qualificadas.

Além do perito digital ter uma formação aprofundada em tecnologia, deve demonstrar experiências em frameworks, compliance e melhores práticas previstas na tecnologia da informação como SOX, COBIT, ITIL, PCI, ISO 27001, bem como da legislação básica brasileira, Código Civil, Código Penal, Consolidação das Leis do Trabalho, e principalmente, normas processuais e procedimentais que regulamentam a produção da prova pericial no Brasil.

Dessa forma, a formação ideal do perito digital deve ser a técnica, com aportes de conhecimento processual/jurídico (caso atue na área forense), já que, mais do que saber agir tecnicamente ou conhecer a intimidade das falhas dos sistemas, o profissional precisa atuar na linha tênue que separa uma perícia homologada de uma produção probatória nula, ilícita ou ilegítima.

Nos treinamentos que ministramos, constatamos profissionais altamente treinados para coleta de evidências, mas que possuem dificuldades em preservá-las, classificá-las, analisá-las em uma escala de prioridade e, principalmente, não conseguem elaborar um laudo técnico pericial.

Vale ressaltar que a profissão do perito digital compreende a habilidade de escrever e dar significado a zeros e uns para um juiz ou sponsor. Além disso, há peritos com formação jurídica tendem a fazer laudos repletos de fundamentação legal, e esquecem de analisar os pontos técnicos solicitados pelas partes.

Assim, a perícia digital não pode ser mais vista como um “box” separado da segurança da informação e das normas de governança em TI.

Não recomendaria uma Pós em computação forense que só trate de Direito ou apenas teorias. O aluno precisa ter contato com threatse casos simulados, de modo a setornar um projetista quando tiver que lidar com casos reais, rapidamente, estruturando em sua mente suas técnicas e ferramentas a utilizar, considerando todos os princípios da disciplina e, principalmente, ciente de que tempo é sim fundamental.

Quanto aos conhecimentos que reputo indispensáveis para um perito digitallisto: redes e arquitetura TCP/IP, sistemas de arquivos, sistemas operacionais baseados em Unix, conhecimentos de fundamentos de algoritmos e linguagem de programação. Muitas ferramentas opensource já homologadas pela comunidade estão em plataforma Unix, logo, um perito que opere somente e plataforma Windows, pode em determinados casos, preterir ferramentas e técnicas que seriam essenciais para o caso.

ONDE CURSAR COMPUTAÇÃO FORENSE

Não se tem a disciplina de computação forense ou perícia digital nos cursos de graduação em tecnologia da informação (alguns já contam com a disciplina de segurança da informação). Igualmente, algumas pós-graduações em Segurança da Informação adotam a computação forense como disciplina. Não recomendo cursar uma pós apenas pela disciplina, embora o conhecimento de Segurança da Informação seja muito relevante para aqueles que desejam se especializar em computação forense.

De início, eu preciso deixar claro que você não necessita de uma pós-graduação em computação forense para atuar. Existem importantes certificações que passo no meu curso EAD de PERÍCIA E INVESTIGAÇÃO FORENSE DIGITAL (https://cyberexperts.com.br/curso-pericia-digital/), que podem contribuir muito para a formação profissional. O Curso é feito pela CYBEREXPERTS, referência e uma das primeiras empresas no Brasil focada em Reputação Online e Computação Forense. Mais informações, entre em contato comigo, pois as turmas são extremamente limitadas.

Hoje, é interessante que você desenvolva cursos de extensão ou mesmo certificações na área, sendo as da SANS e da e-COUNCIL (https://www.eccouncil.org/programs/computer-hacking-forensic-investigator-chfi/) as mais conhecidas, além das certificações focadas em ferramentas. Participe, também, de eventos sobre o tema, sendo que hoje existem inúmeros eventos online e, provavelmente, alguns na sua região.

CURSO PERÍCIA E INVESTIGAÇÃO FORENSE DIGITAL

O meu treinamento -“PERÍCIA E INVESTIGAÇÃO FORENSE DIGITAL”- tem como objetivo fornecer ferramentas para que os profissionais atuantes na área – ou que nela pretendam ingressar – possam se capacitar neste ramo, atendendo com excelência as exigências do mercado. Estas ferramentas proporcionarão os conhecimentos necessários para a análise de mídias, recuperação de evidências e elaboração e análise de Laudos Periciais.

Além disso, é um curso que atua não só com forense open source, mas com ferramentas proprietárias muito utilizadas no mercado. Se você for trabalhar como terceirizado para grandes consultorias ou mesmo busque um emprego como analista o perito forense digital, certamente deverá comprovar conhecimento nestas ferramentas.

Caso opte por uma pós graduação, antes de ingressar, pesquise sobre os docentes. Uma Pós que atua só com agentes públicos passará ao aluno uma visão limitada do mercado e dos casos envolvendo computação forense e perícia digital.

Portanto, escolha um curso que possa conhecer como é a perícia em informática no setor público (Polícia, Receita Federal, Fazenda, Exército, Ministério Público), mas também, que possa ter contato com docentes que estão no mercado corporativo de perícia digital, a fim de ter um contato não só sobre as áreas, mas como são conduzidos processos de investigação forense (fase de preparo, coleta, preservação, análise e reporte).

Não preciso dizer que o networking também é essencial, pois profissionais do mercado poderão demandar seus serviços. Já na área pública, só existe o ingresso mediante concurso público.

QUANTO GANHA UM PERITO FORENSE COMPUTACIONAL?

Na área pública, as perícias judiciais são pagas através de honorários. Ou seja, o juiz, a partir do momento em que entenda que é caso de perícia, oferece oportunidade para o perito estimar. Considere neste caso dividir o trabalho em fases e estime horas para cada fase, totalizando ao final. Mas o profissional que pretenda atuar como perito judicial deve saber, que comumente os honorários são menores que as perícias privadas e o recebimentoburocrático (mediante guias de levantamento).

Em relação aos peritos policiais, a remuneração inicial de um perito da Polícia Federal é R$ 23.692,74 (https://www.estrategiaconcursos.com.br/blog/concurso-policia-federal/) e do Instituto de Criminalística do Estado de São Paulo é R$ 8.699,94 (http://www.recursoshumanos.sp.gov.br/retribuicao.asp?pagina=policial4), ambos mensais.

Em média, a remuneração por hora de um perito em informática está em torno de 480,00 (quatrocentos e oitenta reais). Essa hora pode aumentar ou diminuir de acordo coma a especialidade do perito, volume de dados a coletar e analisar, a exemplo, perícias em dispositivos móveis, bancos de dados, redes, cloud computing costumam ter honorários mais elevados. Além disso a quantificação de horas deve levar em consideração quantidade e diferenças de dispositivos, equipe necessária para o trabalho e demais considerações, valor da causa, etc.Também é possível estimar o trabalho por empreitada.

Aos pretendentes da área, a profissão é rentável, mas exige muito de nós. Podemos ter muitasperícias positivas, mas basta um deslize ou uma evidência clara que não encontramos para que todo o histórico seja destruído. Avisamos que qualquer conduta impensada, como um simples comando para listar o diretório de um sistema operacional, pode significar a perda de dados importantes para o draft final e, consequentemente, milhões para as empresas envolvidas. Por isso, simulações de coleta de dados são sempre estimuladas e bem-vindas, pois, em campo, o profissional estará mais preparado.

PERSPECTIVAS NO MERCADO

No que diz respeito à perspectiva de crescimento da área, o mercado vem crescendo assim como cresceu no mundo. Sobre o tema, fiz o seguinte vídeo: https://www.youtube.com/watch?v=Ik5JyWVOzKM&t=248s.

No mundo, é um mercado que movimentará mais de 9 bilhões de dólares até 2022. E, até 2026, o mercado forense digital está projetado para atingir 11,45 bilhões de dólares. Os principais fatores que impulsionam o mercado forense digital global são: a crescente demanda pela implementação da Internet das coisas, visto que, de acordo com o Relatório de Mobilidade da Ericsson e a Previsão da Internet das Coisas, haverá 18 bilhões de dispositivos conectados até 2022, bem como o aumento de crimes cibernéticos, ataques cibernéticos e outras práticas ilícitas (MARKETSANDMARTEKTS).

As tendências do mercado forense digital, por componente são:

• • • Hardware
    • Sistemas Forenses
    • Dispositivos Forenses
    • Bloqueadores de escrita forenses
    • Outros (inclui cabos, adaptadores, compartimentos de disco rígido, baterias e dispositivos de armazenamento)
    • Programas
    • Serviços
    • Serviços profissionais
    • Investigação e consultoria digital
    • Resposta ao Incidente
    • Integração do Sistema
    • Treino e educação
    • Suporte e Manutenção
    • Serviços gerenciados

No Brasil, o Marco Civil da Internet (Lei nº 12.965/2014) e as Leis que estabeleçam condutas criminosas na Internet tendem a fomentar o perito digital corporativo, apto a atuar em sintonia com o Sistema de Gerenciamento de Segurança da Informação da empresa, avaliando casos e propondo melhorias. Além disso, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) traz uma série de oportunidade para peritos digitais que se especializem em incidentes e controvérsias evolvendo dados pessoais.

O perito policial e judicial, o primeiro, atuando em investigações e inquéritos que se relacionem com Internet e tecnologia, e o segundo, auxiliando juízes no entendimento técnico de discussões judiciais cíveis, criminais e trabalhistas, possuirão cada vez mais trabalho. O Perito digital será função indispensável à justiça, tal como o advogado, pois através dele inocentes não serão condenados e culpados não serão absolvidos por ausência de provas, que na sua maioria das vezes são digitais.

A perícia digital vem amadurecendo no Brasil, mas ainda muito precisa ser feito para que autoridades de aplicação de leis se aproximem do cibercrime. O Estado precisa preocupar-se mais em capacitar seus profissionais do que comprar ferramentas.

Os casos enfrentados por um perito digital são variados, podendo ser uma mera constatação de contrafação de código fonte ou violação de software, ou a análise de escuta clandestina do tráfego de telefonia celular ou internet wireless, passando por análise de memórias de dispositivos, arquivos de paginação e recuperação de dados apagados ou sobrescritos.

Como a maior parte dos incidentes de segurança decorre de vulnerabilidades, cada vez mais é necessário um profissional de computação forense com profunda bagagem em resposta a incidentes, a fim de auditar logs, profiles e compreender o passado, em busca do entendimento sobre o que, como e quem foi o responsável pelo o ocorrido.

COMO COMEÇAR A TRABALHAR COM PERÍCIA DIGITAL E SE HABILITAR?

Primeiro passo é buscar conhecimento, formação profissional. A profissão deve crescer muito nos próximos anos e a concorrência já é bem maior que há 10 anos atrás.

Importante dizer que perícia em informática não é perícia em engenharia, portanto, não está sujeita a conselhos ou associações de engenharia, sobretudo no que tange à estimativa de honorários. Embora alguns peritos usem tabelas da engenharia para estimar honorários, os salários hoje podem ir de 8 a 35 mil reais por mês, de acordo com a complexidade do trabalho, experiência e tarefas do analista, além de outros fatores.

Os passos básicos para iniciar são:

1) Defina seu foco de atuação e busque cursos de extensão e especialização, se possível uma certificação;

2) Faça seu curriculum técnico e crie igualmente um perfil no Linkedin, buscando contato com empresas e consultorias de perícia;

3) Apresente-se para empresas e escritórios jurídicospara atuar como assistente técnico;

4) Converse com peritos experientes e conheça as normas processuais, de habilitação em tribunais e, principalmente, os principais documentos que um perito faz, como manifestações, resposta a quesitos e laudos.

Em meus treinamentos, também, trago importantes modelos para peritos e profissionais de TI que atuam com crimes virtuais e cibernéticos.

5) Pratique. Associe-se a entidades e associações da área, ou seja, um correspondente de perícia ou acompanhe diligências e perícias digitais, mesmo sem honorários periciais. O que vale é a experiência para conhecer a prática do dia a dia.

6) Software. Monte uma estação forense para análises, com suas ferramentas, lembrando que hoje temos ótimos softwares gratuitos para análises, como KALI LINUX, PTK, volatility, disk digger, AUTOPSY, dentre outros. Aqui temos 22 ferramentas essenciais para o perito em informática: https://resources.infosecinstitute.com/topic/computer-forensics-tools/#gref.

CRITÉRIOS PARA CONTRATAR

O fator humano é fundamental para o sucesso de uma empresa perícia digital e computação forense, visto que se trata da prestação de serviço extremamente especializado. Os profissionais contratados devem ter formação tecnológica, jurídica e vivência nas áreas pública e privada. Algumas faculdades oferecem cursos de pós-graduação em perícia digital.

O perito digital precisa conhecer a legislação brasileira e o direito internacional já que tudo que está ligado à internet é de escopo global. Com o crescimento do uso de recursos multimídia, o domínio sobre tecnologias de imagem e voz também é requerido, além de habilidades específicas como a capacidade de análise e síntese de soluções e integridade profissional.

Compreender outras línguas, principalmente o inglês, é outro requisito básico, visto que o perito pode lidar com questões internacionais. Também precisará buscar informações disponíveis em outros idiomas e cooperar com profissionais estrangeiros ou operar tools.

Além da formação acadêmica básica, o profissional poderá (não deverá) obter algumas certificações válidas no mercado mundial de software. As principais são:

– EnCE (EnCaseCertifiedExaminer), do fabricante Guidance;

– ACE (AccessData Certified Examiner), do fabricanteAccessDat;

– CCFT (Certified Computer Forensic Technical);

– GIAC (Global Information Assurance Certification), da SANS;

– CEH (Certified Ethical Hacker);

– CHFI (Certified Hacker Forensic Investigator);

– ACFEI (American College of Forensic Examiners Institute).

– iSC2.

A qualificação de profissionais aumenta o comprometimento com a empresa, eleva o nível de retenção de funcionários e melhora a performance do negócio. O treinamento dos colaboradores deve desenvolver as seguintes competências:

– Capacidade de percepção para entender e atender as expectativas dos clientes;

– Agilidade e presteza no atendimento;

– Motivação para crescer juntamente com o negócio.

Portanto, é evidente que a perícia irá crescer muito e o profissional que se tornar um perito digital terá um campo de trabalho imenso, desafiador e bem lucrativo, desde que, se prepare a altura.

DESAFIOS FUTUROS

Dados encriptados, cloud forensics, Internet das Coisas e o alto volume de dados são indicados como os principais desafios. O alto volume de dados é uma frustração que o perito terá que aprender trabalhar. Costumo dizer que perícia profunda e tempo são intimamente ligados e a qualidade do trabalho cresce na mesma proporção do tempo existente. Infelizmente, grande parte dos trabalhos serão feitos e um curto período de tempo e nem todas as análises possíveis poderão ser realizadas, quer por falta de tempo, quer por falta de orçamento, razão pela qual o perito deverá escolher as análises mais significativas ou que mais contribuem para o caso.

Durante o ano de 2020, vivenciamos uma pandemia causada pelo Covid-19, o que potencializou as relações no ambiente digital. Diversos golpes e fraudes foram aplicados, aparelhos invadidos. Além disso, muitas empresas precisaram fazer o home office, o que fez com que a vulnerabilidade de muitos aumentassem. Assim, a perícia digital estará em alta, considerando a inovação forçada de muitos setores, sem os cuidados básicos com segurança, o que dará margem a atuação de fraudadores e criminosos.

A computação forense e perícia digital é muito dinâmica e a cada ano surgem novos desafios e tecnologias, sendo que os peritos devem se enquadrar nesta dinâmica de atualização constante. Internet das coisas, Drones, GPS, ataques de ransonware, Big Data, Inteligência Artificial e Deep Web já são realidades. A criptografia e as novas transações na Blockchain são desafios. Pontos que valem um maior estudo pois profissionais com “respostas” nestas áreas serão extremamente procurados.

O perito que tiver soluções para estes problemas certamente terá muito sucesso em sua atividade. Vale ficar atento em novas tecnologias utilizadas em massa, e quais evidências podem ser coletadas diante de fraudes, golpes e crimes na internet cometidos nestes ambientes.

REFERÊNCIAS

INDICAÇÃO DE LIVROS

Muitos livros foram lançados sobre computação forense. Vou indicar os que eu li e gostei, basilares, e que podem lhe dar o alicerce para outros livros mais específicos:

– Perícia Forense Computacional. Teoria e Prática Aplicada (Dan Farmer)

https://www.amazon.com.br/Per%C3%ADcia-Forense-Computacional-Pr%C3%A1tica-Aplicada/dp/8576051281

– Introdução à Análise Forense em Redes de Computadores (Ricardo Kleber)

https://www.novatec.com.br/livros/analise-forense/

– File system Forensic Analysis (Brian Carrier)

https://www.goodreads.com/book/show/692554.File_System_Forensic_Analysis

– A Forensic Focus (que aliás é item indispensável de leitura do perito em informática) tem uma lista bem interessante de livros na área: http://www.forensicfocus.com/computer-forensics-books-us

– Perícia digital: da investigação à análise forense (Evandro Della Vechia). É um livro fundamental que indico, de um grande perito digital, e tenho prazer de ter escrito meu depoimento no livro.

https://www.editorajuspodivm.com.br/pericia-digital-da-investigacao-a-analise-forense-2019?utm_camp=gshop&idgrade=163024&gclid=Cj0KCQiAjKqABhDLARIsABbJrGm3DHs7p1tt1G91ZyCwlYEsvvmcgk_0hReCORYoTTKYtMvyl4JWRMMaAg5cEALw_wcB

AINDA TEM DÚVIDAS? FALE COMIGO

Minha missão é ajudar ao máximo pessoas que pretendam atuar na área de computação forense, resumindo informações que levei anos para descobrir. Espero que este conteúdo possa agregar a muitos profissionais e estudantes que pretendam e sonham em trabalhar com perícia digital ou em informática. Atualizarei esta página continuamente e peço que reverbere este conteúdo compartilhando aos que tem interesse. Bom trabalho a todos e fico à disposição para dúvidas pelo e-mail consultor@josemilagre.com.br. No meu canal no Youtube também publico vídeos semanais sobre computação forense (www.youtube.com/josemilagre).

CYBEREXPERTS 

A CyberExperts é consultoria especializada em computação forense, inteligência cibernética, perícia e auditorias em informática. Atuamos para empresas e órgãos públicos na coleta, preservação e análise de evidências digitais, por meio de um rol de peritos com notória experiência profissional. Fale conosco (11) 3254-7616 ou acesso www.cyberexperts.com.br

José Antônio Milagre, perito e assistente técnico em informática, especialista em computação forense, analista de sistemas, técnico em processamento de dados, Pós Graduado em Gestão de Tecnologia da Informação, Mestre e Doutorando em Ciência da Informação pela UNESP. Contato: consultor@josemilagre.com.br e (11) 3513-7844. Instagram @drjosemilagre

Colaboração

Laura Secfém Rodrigues.Pós-graduanda em Direito, Tecnologia e Inovação com ênfase em proteção de dados, no Instituto New Law. Graduada em Direito pelo Centro Universitário de Bauru/SP, mantido pela Instituição Toledo de Ensino (ITE).

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), em vigor desde setembro de 2020, impõe importantes direitos aos titulares de dados pessoais, bem como deveres aos agentes de tratamento que, nas suas atividades, manipulem dados pessoais.

Segundo o relatório “Prejuízo de um vazamento de dados”, realizado pelo Ponemon Institute em parceria com IBM Security, o prejuízo total médio de um vazamento de dados aumentou 10% desde 2014, sendo o tempo médio para detectar e conter um vazamento de dados é de 280 dias e 315 dias quando for por um ataque mal-intencionado.

Nesse cenário, a responsabilidade para com a segurança da informação, já prevista em guidelines, normas e melhores práticas antes da LGPD, foi reforçada com os regulamentos que protegem dados pessoais, merecendo cada vez mais atenção.

São exemplos de importantes normas relacionadas à segurança da informação:

– a norma ABNT ISO/IEC NBR 27001:2013 que estabelece requisitos para o sistema de gestão da segurança da informação (SGSI);

– a norma ABNT ISO/IEC NBR 27002:2013, que prevê controles de segurança da informação e, recentemente, receberam a extensão dos requisitos e diretrizes específicos para controladores e operadores, trazidos pela norma ABNT ISO/IEC NBR 27701:2020, que dispõe acerca do Sistema de Gestão da Privacidade da Informação (SGPI).

Deste modo, a segurança da informação, destinada à proteção das dimensões envolvendo confidencialidade, integridade, disponibilidade e demais atributos da informação, também considera as especificidades envolvendo dados pessoais, razão pela qual a proteção da informação abrange não apenas dados corporativos ou classificados com críticos e confidenciais, mas também, dados ligados à pessoas naturais.

A segurança da informação é elevada ao status de um princípio na LGPD, envolvendo a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, relacionadas à destruição, perda, alteração, comunicação ou difusão.

Do mesmo modo, estabelece a LGPD que um tratamento de dados irregular não é somente aquele que não observa a legislação, mas, principalmente, aquele que não fornece a segurança que dele se pode esperar, considerando padrões e práticas aplicáveis à época do tratamento.

Nesta linha, agentes de tratamento responderão por danos decorrentes da violação de segurança quando não adotarem medidas físicas, técnicas e organizativas aptas a proteger dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Assim, se antes, controladores e operadores poderiam assumir o risco de omitir uma vulnerabilidade explorada ou um incidente que envolvesse dados pessoais, em um cenário de normas de proteção de dados e maior conscientização, a omissão ou a descoberta por outras fontes pode ser catastrófica ao negócio.

Se o incidente envolve riscos aos titulares de dados, procedimentos ágeis devem ser executados em um processo claro, definido e testado previamente, com colaboradores responsáveis, conscientes de seu papel para a estrutura de governança de dados da organização e capacitados tecnicamente para conter um incidente de segurança.

Se minha empresa teve dados pessoais vazados, o que é preciso fazer?

De início, cumpre esclarecer que, após a confirmação, conforme o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Em tese, se não envolve risco ou dano relevante aos titulares, a comunicação não seria necessária. Recomenda-se que esta avaliação seja feita por consultoria e perícia forense digital independente em conjunto com o time interno, capaz de compreender a dimensão do ataque, vulnerabilidade explorada, medidas preventivas ou reativas acionadas e, então, ponderar pelo risco ou não aos titulares.

Nesse cenário, o DPO (Data Protection Officer) assume papel consultivo, pois a autonomia e independência são inerentes a sua função, zelando pelo melhor interesse do titular de dados e, como canal de comunicação, ser o elo entre a empresa, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Por sua vez, caso o ataque ou vazamento de dados proporcione risco ou dano relevante aos titulares, a comunicação à ANPD e aos titulares de dados ou clientes deverá conter, no mínimo:

Resta evidente que, se a empresa não estabelecer um processo claro para resposta a incidentes, terá dificuldades de tomar a decisão sobre incidentes com dados pessoais, sobre comunicar ou não, bem como em levantar as informações detalhadas do ocorrido, sobretudo se a exploração se deu em ambiente de um operador ou controlador conjunto.

Nessas situações, poderá ocorrer a aplicação de penalidades, inclusive multas, lembrando que, no juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, com o intuito de terceiros não autorizados acessá-los.

Nesse contexto, vale destacar que a perícia digital em questões envolvendo dados pessoais pode contribuir no processo de resposta a incidentes, não só para coleta de evidências e manutenção da cadeia de custódia, mas para identificar a extensão dos danos e se envolvem dados pessoais, apurando o possível modus operandi e a autoria.

Assim, é preciso compreender que um Sistema de Gestão de Proteção de Dados compõe-se de uma série de processos, práticas e ações para que a empresa demonstre conformidade com normas e práticas de proteção de dados, inclusive no atendimento do princípio da responsabilização e prestação de contas (art. 6º, X).

A gestão de incidentes de segurança da informação é diretriz prevista na ABNT ISO/IEC NBR 27002 e que agora é atualizada com diretrizes adicionais na seção 6.13 da ABNT ISO/IEC NBR 27701. Além disso, há a norma ABNT ISO/IEC NBR 27.035 que é específica para resposta a incidentes e a norma ABNT ISO/IEC NBR 29.151 que estabelece objetivos de controle, controles e diretrizes para a implementação de controles, a fim de atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de informações pessoalmente identificáveis.

“Como parte do processo de gestão de incidentes de segurança da informação global, convém que a organização estabeleça responsabilidades e procedimentos para identificação e registros de violações de DP. Adicionalmente, convém que a organização estabeleça responsabilidades e procedimentos relativos à notificação para as partes envolvidas nas violações de DP (incluindo o tempo de tais notificações e à divulgação para as autoridades, levando em conta a regulamentação e/ou legislação aplicadas” (ABNT, 2019, p.28)”. 

Vale notar que, como parte dos processos de gestão de incidentes, é muito importante que a empresa defina papéis e responsabilidades, além de procedimentos para identificação e registro de violações de dados pessoais, mantendo inclusive procedimentos para notificação das partes envolvidas e divulgação às autoridades, além do desenvolvimento de uma análise crítica dos sistemas de Tecnologia da Informação e Comunicação (TIC).

A violação a dados poderá ter ocorrido em um operador de dados pessoais, um contratado, terceirizado, prestador de TI etc. Nestes casos, é fundamental que o controlador estabeleça, também, de forma preventiva, cláusulas contratuais que disciplinam como o operador irá fornecer informações necessárias ao controlador para que este possa cumprir com suas obrigações e prazos diante de um incidente constatado.

Em todos os casos, a resposta adequada ao incidente, coleta de  evidências e a perícia digital são essenciais, sobretudo para se evitar responsabilizações, considerando que, conforme disposto na LGPD, os agentes de tratamento não serão responsabilizados quando provarem, por exemplo, que os dados vazados não pertencem à empresa, não houve violação à legislação, ou quando provarem que os danos decorreram de culpa exclusiva do titular, como nos casos em que o titular é enganado por fraudador, que captura seus dados pessoais e credenciais de acesso ou mesmo senhas bancárias e dados de cartão de crédito. São questões que a perícia técnica, interna ou externa, poderá identificar e detalhar nas apurações.

Respostas a incidentes: orientações basilares

Em síntese, ao tratarmos de respostas a incidentes que exponham dados pessoais de clientes, temos que ter em mente as seguintes orientações:

1. Mantenha um processo/plano claro para lidar com incidentes, considerando a LGPD e regulamentos de privacidade em vigor, definindo papéis e responsabilidades dos atores envolvidos;
2. Certifique-se que os agentes de tratamento assinaram cláusulas contratuais específicas se comprometendo com a segurança dos dados e a colaboração quando da ocorrência de incidentes;
3. Realize a simulação de incidentes de segurança, ao menos uma vez ao ano, para verificar a maturidade do processo, a velocidade da resposta, gestores envolvidos, preservação das evidências e se demais tarefas são corretamente executadas. Com o teste do seu plano de resposta a incidentes será possível otimizar a capacidade de conter, mitigar e restabelecer os sistemas de forma ágil e eficaz;
4. Invista em programas de governança, gerenciamento de riscos e conformidade;
5. Incentive terceiros, colaboradores e usuários a notificarem qualquer suspeita pelos canais apropriados. Divulgue, ostensivamente, os canais apropriados;
6. Nesta linha, mantenha um ponto de contato online para que as pessoas possam notificar a suspeita de incidentes de segurança da informação ou com dados pessoais. Um exemplo interessante é o site da Apple, que disponibiliza uma página para que pessoas possam denunciar possíveis vulnerabilidades “Se você acredita que tenha descoberto uma vulnerabilidade de segurança ou privacidade em um produto Apple, relate-o para nós.” (https://support.apple.com/pt-br/HT201220). Na página existe um procedimento claro para relato das vulnerabilidades e como a Apple trata a questão internamente. Desenvolva algo neste sentido. Muitas empresas não possuem canais, o que encoraja pessoas a encaminharem a descoberta de uma vulnerabilidade para outras empresas, como imprensa, associações de defesa de titulares de dados e terceiros. Tenha em mente que é sempre bom que você saiba primeiro de um problema com seus sistemas.
7. Realize testes de intrusão (pentests) constantemente, teste também a eficácia de mecanismos de pseudonimização e anonimização, e mantenha abertos contatos e canais para notificações de vulnerabilidades por pesquisadores e profissionais;
8. Em casos de incidentes, realize uma perícia ou auditoria digital nos ambientes para identificar a extensão do dano e o comprometimento a dados pessoais, bem como se é o caso de comunicação a titulares e ANPD ou não. DPOs e Comitês de Proteção de Dados podem se embasar nestes documentos para a correta tomada de decisões. Se os datasets foram publicados na Internet, realize uma perícia comparativa, para apurar se efetivamente vieram de seus sistemas ou não e a possível autoria.
9. Se a violação se deu em terceiros ou operadores, faça valer o contrato ou acordo de processamento de dados, e requeira todas as informações e evidências (caso já não tenha sido informado), para que possa notificar as autoridades e os titulares de dados (se for o caso). Requeira informações sobre a investigação e elementos já identificados pelo operador, em detalhes;
10. Em todos os casos, preserve as evidências adequadamente, considerando melhores práticas, incluindo ABNT ISO/IEC NBR 27037. Lembre-se que medidas de resposta adequadas podem significar a demonstração do comprometimento da organização e evitar mais danos e responsabilizações.

O que deve conter em um processo de resposta a incidentes de segurança da informação?

Como visto até aqui, sem um processo de resposta a incidentes prévio e definido empresas terão problemas com incidentes envolvendo dados. Um processo de resposta a incidentes de segurança da informação  visa documentar os passos a serem seguidos quando do incidente e precisa conter, no mínimo:

– A equipe de resposta a incidentes: a declaração das pessoas responsáveis pela área na empresa que irá avaliar a situação, discutir as medidas a serem adotadas e produzir os relatórios necessários;

– Quem será a primeira pessoa a ser comunicada quando do incidente de segurança;

– Procedimentos a serem adotados antes, durante e após o incidente de segurança;

– Medidas adotadas pelo DPO para comunicar os titulares e a ANPD, além dos requisitos da comunicação;

– Elaboração de relatórios e documentos que demonstrem a adoção de medidas para evitar o incidente de segurança e, se houver, o que foi feito;

– Procedimentos de simulação de incidentes de segurança para verificar os riscos e mitigá-los.

– Aprendizado com o incidente de segurança da informação.

Considere, para estruturação de um processo de resposta a incidentes, as disposições da diretriz 6.13.1.5 da norma ISO 27701.

E caso tenha encontrado falhas ou vulnerabilidades em sistemas de empresas e que expõem dados pessoais?

Pode ser (aliás, quase sempre acontece), no entanto, que quem descobriu a vulnerabilidade não foi o controlador, mas um terceiro, pesquisador, analista, hacker, pessoa física, outra empresa etc. Muitas dúvidas surgem neste caso, sobretudo no que diz respeito a qual metodologia seguir.

Infelizmente, muitas empresas, informadas por terceiros de que são vulneráveis, acabam por processar criminalmente o notificante, o que incentiva que estes não a notifiquem e acabem dando destinação diversa ao encontrado, até mesmo encaminhando para a mídia.

Em tempos de LGPD, não serão incomuns as notificações à imprensa de vazamento de dados, sobretudo quando controladores não possuem canal de notificação ou ignoram avisos e mensagens de pessoas (quando as trata como criminosas). Os danos para as empresas serão imensos, pois como esta será vista quando uma vulnerabilidade, que expõe dados pessoais, é descoberta antes pela mídia ou terceiros?

Para pessoas e pesquisadores que encontram vulnerabilidades e exposição de dados pessoais em plataformas, algumas recomendações:

1. Registre a vulnerabilidade com metadados, documentando como é explorada, e quais os riscos. Se for algo exposto (sem necessidade de exploração, disponível ou facilmente acessível), também documente e sendo o caso registre uma ata notarial.  Demonstre sempre a finalidade de contribuir e não de explorar a falha e que não avançou na cópia dos dados, adulteração ou exclusão de dados pessoais;
2. Evite fazer dump, copiar ou disponibilizar os dados pessoais e demonstre isso claramente em sua notificação. Avalie como demonstrar a vulnerabilidade de modo menos invasivo possível.
3. Não é recomendável condicionar o fornecimento de “maiores detalhes da vulnerabilidade” à contratação de serviços de correção da mesma. Este fato pode ser mal interpretado pela empresa/controlador, que poderá iniciar um processo judicial ou criminal.
4. Busque os canais oficiais de notificação, e sempre dê ciência a uma testemunha sobre a descoberta da vulnerabilidade e sua finalidade na pesquisa.
5. Caso seja ignorado, pode ser que a empresa queira “acobertar” o vazamento, prejudicando cidadãos e titulares. Neste caso, considere encaminhar a questão à ANPD e às autoridades de aplicação de Lei.
6. Caso não tenha sido ignorado e a empresa esteja tratando a notificação, é importante observar como lidará com o incidente e se efetivamente irá fazer os comunicados aos titulares e autoridade. Acompanhe de perto e diante de omissões, considere comunicar a ANPD ou autoridades competentes.

Infelizmente, apesar de todas as medidas de proteção dos pesquisadores, nunca saberemos como o controlador poderá reagir a um comunicado de vulnerabilidade e vazamento de dados pessoais que trata..

Inúmeros casos ocorrem onde pesquisadores foram considerados infratores, pelo fato de dar-lhes ciência de uma vulnerabilidade, com uma simples prova, mesmo sem terem comercializado ou disponibilizado dados, mesmo sem pedirem nada em troca. Alguns pesquisadores, inclusive, registram Boletim de Ocorrência ou iniciam o processo de notificação assistidos por advogados especialistas em direito digital, antes de informarem e notificarem a falha, como uma tentativa de se protegerem de processos reflexos e interpretações errôneas.

Conclusões

Não negligencie. Todas as empresas estão sujeitas a ataques e incidentes que exponham dados pessoais. Por isso, um Sistema de Gestão da Privacidade da Informação implantado e mantido atualizado e efetivo pode cooperar para que a empresa reduza ou mitigue os riscos de eventual incidente de segurança, adotando controles e medidas técnicas e administrativas preventivas.

Do mesmo modo, um processo claro de resposta a incidentes envolvendo dados pessoais, como visto, não só demonstra compliance, mas, poderá, em casos concretos, minimizar os riscos de danos aos controladores e, principalmente, aos titulares de dados.

Foram vazados dados da sua empresa? Aja corretamente e evite multas e responsabilidades:

A CyberExperts atua na adequação de negócios e empresas à LGPD, bem como na perícia em dados e resposta a incidentes envolvendo vazamento de dados pessoais e auditorias de conformidade, atuando desde a investigação do incidente ao relacionamento com titulares de dados e Autoridades. Fale conosco. Acesse: www.cyberexperts.com.br.

Sobre o autor:

José Antonio Milagre (https://app.exeed.pro/holder/badge/55319) Data Protection Officer (DPO) EXIN. Pesquisador em direito e dados do Núcleo de Estudos em Web Semântica e Análise de Dados da USP (Universidade de São Paulo). Mestre e Doutorando em Ciência da Informação pela UNESP. Pós Graduado em Gestão de Tecnologia da Informação. Advogado com atuação em Direito Digital. Perito Judicial em Informática e Proteção de Dados. Presidente da Comissão de Direito Digital da Regional da Vila Prudente da OAB/SP. Autor de dois livros pela Editora Saraiva (Marco Civil da Internet: Comentários a Lei 12.975/2014 e Manual de Crimes Informáticos).

Colaboradora: Laura Secfém Rodrigues. Pós-graduanda em Direito, Tecnologia e Inovação com ênfase em proteção de dados, no Instituto New Law. Graduada em Direito pela Instituição Toledo de Ensino (ITE).

© 2021. Proibida cópia ou reprodução sem autorização prévia e expressa do autor: consultor@josemilagre.com.br

Quais dados vazados?

O vazamento expõe contas telefônicas e segundo a Psafe estavam disponíveis na Dark Web desde o dia 03 de fevereiro e envolvem informações como CPF, número de celular, tipo de conta telefônica, minutos gastos em ligação e demais dados pessoais. São 102.828.814 mil registros. Ao que parece pertencem as operadoras Claro e Vivo, mas é preciso investigação para se confirmar pois as empresas negam a responsabilidade.

Qual a motivação?

A motivação ao que identificado é financeira. Já que as informações estão sendo vendidas individualmente ou em pacotes, no valor de U$$ 1 cada.

As pessoas devem se preocupar?

As pessoas precisam se preocupar com vazamentos desta natureza, pois eles podem ser utilizados para criação de cadastros, falsa identidade, compras, aplicações de golpes e fraudes e até por tentativas de acessar contas bancárias e ativos das vítimas. É muito importante ficar atento a mensagens não solicitadas recebidas e caso receba abordagens de pessoas ou empresas que desconhece, questionar como o agente obteve os dados. Lembrando que nos termos da LGPD é direito do titular de dados confirmar a existência de tratamento, acessar os dados e até mesmo a eliminação dos dados tratados em desconformidade com a Lei.

Os cidadãos tem culpa?

Não. Os usuários não têm culpa alguma. Um dataset gigante com 100 milhões de registros, certamente veio de um agente de tratamento, este que pode ter negligenciado com seus deveres relativos à segurança da informação e proteção de dados. Lembrando que pela LGPD o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes. Assim, a ANPD precisa investigar adequadamente o caso. Conforme dispõe a LGPD, responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que deixa de adotar as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Como a Autoridade Nacional de Proteção de Dados (ANP) pode agir?

Compete à ANPD fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso. Neste caso, a ANPD poderá instaurar um procedimento administrativo para apurar a responsabilidade dos agentes de tratamento que seriam responsáveis pela base de dados. Embora as penas só possam ser aplicadas em agosto de 2021, nada impede, no entanto, que outras entidades atuem, como Procon, Senacon e até mesmo o Ministério Público, que tem se mostrado muito ativo nas questões envolvendo vazamento de dados pessoais.

Se comprovado, as empresas de telefonia respondem pelos danos?

Conforme dispõe a LGPD, responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Assim, as responsáveis poderão ser processadas por entidades de defesa do consumidor, associações de representação e Ministério Público, caso comprovada a negligência que permitiu o vazamento de dados. A ANPD também divulgou nota informando que oficiou outros órgãos, já que ainda não pode aplicar suas penalidades, e que promoverá, com estes órgãos competentes, a responsabilização e punição dos envolvidos. Procon e Anatel também estariam habilitadas a atuar nestes casos. O Procon poderia inclusive aplicar multa com base no Código de Defesa do Consumidor. Acreditamos que nestes casos a prova pericial em dados será fundamental para apurar se realmente os dados se originaram de vazamentos das operadoras de telefonia ou não.

Em síntese

Com a LGPD e o aumento da maturidade e consciência em relação à privacidade e proteção de dados, ganha relevância maior notícias de vazamento de dados. Por outro lado, nos últimos dois casos grandes no Brasil, os suspeitos negaram o envolvimento. Assim, a questão será probatória e técnica, sendo necessárias auditorias e perícias em informática para que, no processo administrativo, fique comprovado ou não o envolvimento.

José Antonio Milagre, advogado e perito em segurança da informação e dados pessoais, especialista em crimes cibernéticos e Presidente do Instituto de Defesa do Cidadão na Internet (IDCI Brasil).