Muito tem se discutido sobre as graves violações que em tese teriam praticado o Ministro Sérgio Moro em conversas (chats) com procuradores da operação lava jato. Os textos foram apresentados pelo The Intercept, que vem protegendo a fonte.

Sem adentrar em questões jurídicas ou até mesmo éticas, fato é que por demais temerário qualquer decisão com base em “textos” que supostamente representariam chats.

A perícia em informática demonstra-se fundamental. Uma pericia em informática tem condições de, em se avaliando os arquivos, identificar fontes, metadados, assinaturas e demais padrões que possam levar à conclusão da autenticidade dos referidos textos. Sem isso, qualquer argumentação é passível de descrédito.

Hoje existem inúmeras aplicações capazes de simularem chats. Outras, mais avançadas, conseguem até fazer inserções em arquivos originários dos comunicadores. Logo, diante do suposto vazamento de dados do Telegram e WhatsApp e considerando inúmeras Fakes que já surgiram na Internet (retratando chats inexistentes) a prova técnica poderá esclarecer a questão.

A exemplo, as conversas do WhatsApp ficam armazenadas de forma criptografada em arquivos de bancos de dados em /sdcard/WhstaApp/Databases:

Tendo acesso à chave (key), que fica salva diretamente no dispositivo (pasta /data) pode-se tentar extrair as mensagens, identificando se existiram (autências e integras) ou não. De se destacar que o WhatsApp também armazena um msgstore sem criptografia, utilizado para dados de transição e que pode ser acessado com um celular em modo root.

Por sua vez, o Telegram, também adota criptografia, mas ao contrário do WhatsApp não é ponta a ponta mas cliente-servidor, sendo a ponta a ponta somente a criptografia do “chat secreto”. De qualquer forma, considerando que o próprio Telegram já informara que não fora hackeado, caso sejam íntegros, os chats podem ter sido obtidos por meio de códigos maliciosos, acesso físico ao dispositivo ou Chip swap e suas consequências.

Ainda assim, para se provar a autenticidade de um chat ou conversa do Telegram, é preciso avaliar os arquivos e dados gerados. Satrya, Daely e Nugroho (2016), apresentam a pesquisa “Digital Forensic Analysis of Telegram Messenger”, onde oferecem a estrutura de dados do aplicativo, inclusive a possibilidade de recuperação de mensagens, a partir do dispositivo:

Como se verifica, embora o aplicativo armazene as conversas em seus servidores, o arquivo cache4.db, no equipamento, armazena ou conteúdo, ainda que parcial, com destaque para a tabela messages que armazena as mensagens trocadas e um MID (message ID específico) para cada mensagem, além de dados como data e hora.

Com efeito, uma tentativa de inserção de uma “conversa” diretamente na tabela iria subverter a ordem dos Ids além de perturbar outros pontos do app, razão pela qual a integridade de um “chat” passa necessariamente pela confrontação entre arquivos publicados e sua correlação com as bases dos terminais envolvidos ou servidor. Por outro lado, se não aparecem as evidências das conversas, mas tão somente são postadas ou publicadas supostas “conversas”, prova mais do que frágil, a menos que incontroversa, não sendo recomendada qualquer decisão com base em tais conteúdos. O cenário chama atenção para os cuidados que vítimas de “fakechats” devem tomar. O principal é custodiar adequadamente o equipamento e em caso de divergência, podem periciar o mesmo, de forma buscar avaliar quais “chats” são íntegros e quais não.

REFERÊNCIAS

SATRYA, Gandeva Bayu; NUGROHO; Muhammad; DAELY, Philip Tobianto. Digital Forensic Analysis of Telegram Messenger on Android Devices. 2016 International Conference on Information & Communication Technology and Systems (ICTS), At Surabaya, Indonesia. Disponível em: < https://www.researchgate.net/publication/316530864_Digital_Forensic_Analysis_of_Telegram_Messenger_on_Android_Devices> Acesso em: 13 jun. 2019

José Antonio Milagre, perito em informática e especialista em crimes cibernéticos, mestre e doutorando pela UNESP, diretor do Instituto de Perícias Digitais (IPDIG), professor e coordenador de pós-graduação em computação forense, autor de dois livros pela editora saraiva. www.josemilagre.com.br

Às vésperas do pleito, inúmeros comitês, candidatos, coligações e militantes continuam com dúvidas relativas ao limite para propaganda eleitoral na Internet. Não temos dúvida que todo este celeuma se deve à incapacidade do Poder Legislativo Federal em regulamentar de forma adequada a propaganda digital.

Para o pleito de 2016, a Resolução 23.457/2015 era clara ao dispor que:

Art. 4º  É vedada, desde quarenta e oito horas antes até vinte e quatro horas depois da eleição, a veiculação de qualquer propaganda política no rádio ou na televisão – incluídos, entre outros, as rádios comunitárias e os canais de televisão que operam em UHF, VHF e por assinatura – e ainda a realização de comícios ou reuniões públicas (Código Eleitoral, art. 240, parágrafo único).

Parágrafo único.  A vedação constante no caput não se aplica à propaganda eleitoral veiculada gratuitamente na Internet, em sítio eleitoral, em blog, em sítio interativo ou social, ou em outros meios eletrônicos de comunicação do candidato, ou no sítio do partido ou da coligação, nas formas previstas no art. 57-B da Lei nº 9.504/1997

Como se verificava, o parágrafo único excetuava a propaganda na internet, que poderia ser feita até mesmo no dia da eleição.

Lamentavelmente, a Resolução 23.551/2017 não reeditou o referido parágrafo:

Art. 5º É vedada, desde 48 (quarenta e oito) horas antes até 24 (vinte e quatro) horas depois da eleição, a veiculação de qualquer propaganda política no rádio ou na televisão – incluídos, entre outros, as rádios comunitárias e os canais de televisão que operam em UHF, VHF e por assinatura – e ainda a realização de comícios ou reuniões públicas (Código Eleitoral, art. 240, parágrafo único).

Não bastasse, editou-se na Resolução o artigo 81, que assim estabelece:

Art. 81. Constituem crimes, no dia da eleição, puníveis com detenção de 6 (seis) meses a 1 (um) ano, com a alternativa de prestação de serviços à comunidade pelo mesmo período, e multa no valor de R$ 5.320,50 (cinco mil, trezentos e vinte reais e cinquenta centavos) a R$ 15.961,50 (quinze mil, novecentos e sessenta e um reais e cinquenta centavos) (Lei nº 9.504/1997, art. 39, § 5º, incisos I a IV):

I – o uso de alto-falantes e amplificadores de som ou a promoção de comício ou carreata;

II – a arregimentação de eleitor ou a propaganda de boca de urna;

III – a divulgação de qualquer espécie de propaganda de partidos políticos ou de seus candidatos;

IV – a publicação de novos conteúdos ou o impulsionamento de conteúdos nas aplicações de internet de que trata o art. 57-B da Lei nº 9.504/1997, podendo ser mantidos em funcionamento as aplicações e os conteúdos publicados anteriormente.

• 1º O disposto no inciso III não inclui a manutenção da propaganda que tenha sido divulgada na internet antes do dia da eleição.
• 2º As circunstâncias relativas ao derrame de material impresso de propaganda no dia da eleição ou na véspera, previstas no § 7º do art. 14, poderão ser apuradas para efeito do estabelecimento da culpabilidade dos envolvidos diante do crime de que trata o inciso III deste artigo.

A disposição repete o disposto no parágrafo 5º., inciso IV do Art. 39 da Lei 9504/1997, inserido pela Lei 13.488/2017.

Diante desse cenário, inúmeras foram as interpretações sobre o que seria permitido ou proibido no dia da eleição e quem estaria obrigado a cumprir a referida determinação. O Cidadão estaria censurado?

O artigo 57-B é claro em prever que a propaganda eleitoral pode ser feita por candidato partido ou coligação, ou até mesmo qualquer pessoa natural. Por outro lado, resistimos a acreditar na hipótese de que o cidadão não possa “compartilhar” em comunicador privado, como Whatsapp, a seus contatos, suas preferências, imagens ou mesmo o número do seu candidato, ou mesmo dialogar sobre preferências e em quem votar.

A Legislação é clara no seus verbos “publicar” ou “impulsionar”, o que estaria relacionado a postagens em redes sociais como Facebook, Twitter e Instagram, a um número indeterminado de pessoas.

Igualmente, cidadão que compartilha conteúdo publicado antes das 00h00min do domingo, não estaria em tese violando o tipo trazido na Resolução, eis não ter “publicado”, mas compartilhado?

Em nossa visão, a restrição não atinge aquele que, no seu direito de liberdade de expressão, manifesta sua preferência por um ou outro candidato, sem utilizar conteúdo nitidamente propagandístico, emitindo simplesmente sua manifestação pessoal. A restrição se dá à propaganda eleitoral. Propaganda é pedido de voto expresso.

Ainda, beira ao delírio que Ministério Público denuncie um cidadão que, não usando serviços de WhatsApp marketing ou canais para envios em massa, envia a seus contatos suas preferências ou mesmo arte de seu candidato, em chat privado com determinadas pessoas.

Com efeito, em que pese seja a nós coerente que a vedação do art. 81 seja aplicada às redes oficiais de candidatos, partidos ou coligações, ainda que apliquemos  à qualquer cidadão, o que entendemos um retrocesso e um ataque à liberdade de expressão, nosso entendimento é que as condutas vedadas seriam a “publicação” ou “impulsionamento”, não envolvendo neste âmbito aquele que encaminha a seus contatos sua preferência ou sugestão de candidato. Quantos milhares estão, neste momento, falando sobre suas preferências, em chats de comunicadores?

No entanto, até que o Legislador e o TSE corrijam esta aberração, todo o cuidado é pouco, e observaremos pela primeira vez quais serão as posturas de Autoridades e Judiciário à respeito da norma deficiente. O risco de processos e aplicação de multas, diante da péssima redação da Lei, é mais que existente.

Leia mais sobre a dúvida em: https://epocanegocios.globo.com/Brasil/noticia/2018/10/o-que-o-eleitor-pode-fazer-na-internet-no-dia-da-eleicao.html

José Antonio Milagre, advogado especialista em Direito Digital, Mestre e Doutorando pela UNESP, Presidente da Comissão de Direito Digital da OAB/SP Regional da Lapa. www.direitodigital.adv.br

Fonte: http://g1.globo.com/sp/bauru-marilia/tem-noticias-2edicao/videos/t/edicoes/v/empresas-podem-ser-multadas-pelo-uso-indevido-de-dados-pessoais-com-nova-lei-sancionada/6990279/

Saiba como agir diante  de uma busca e apreensão de software pirata ou notificação por licenças irregulares.

Sabe-se que a Lei de Direitos Autorais (9610/1990) e a Lei de Software (9609/1998) tutelam os programadores e os titulares de direitos de programa de computador. Neste sentido, a legislação permite inclusive que os titulares realizem ou implementem instrumentos ou código automatizados para se constatar o uso indevido de seus sistemas. Não incomum, diante do grande investimento em programação e alto valor de softwares, empresas serem abordas, de diversas formas, para que informem sobre a eventual utilização irregular de sistemas.

Normalmente estas empresas são notificadas diante de cotações não concluídas, denúncia anônima, ou mesmo após um processo de investigação conduzido pelas próprias titulares dos softwares, com o apoio de empresas de perícia e investigação digital especializadas. Alguns recursos permitem até mesmo o monitoramento de redes sociais e espaços na internet, em busca de indícios de contrafação. Assim, diante de uma suspeita, as empresas titulares podem realizar abordagens de duas formas. Ao avaliarem que a contrafação é mínima ou não justifica um procedimento mais incisivo, notificam a empresa suspeita, para que informe espontaneamente suas licenças ou que faça contato para regularizar seu parque, ou ainda para que faça uma revisão interna e verifique se algo não está licenciado.

Porém, em outros casos, a abordagem é mais desgastante. Quando a empresa, titular dos direitos do programa de computador, tem uma prova mais robusta, mais inequívoca ou mesmo avalia o porte da empresa e identifica se tratar de suspeita de contrafação de grande monta, comumente, sequer faz contato prévio, imediatamente manejando ação de busca e apreensão ou produção antecipada de provas. Como se sabe, estas ações são segredos de justiça e a empresa investigada e requerida só fica sabendo da medida (se não monitorar diários oficiais) quando oficial de justiça, peritos e representantes da empresa titular dos direitos estiverem em sua porta, com um mandado judicial.

Seja como for, é fato que ocorrem, na busca pelos direitos, abordagens invasivas, como por exemplo, algumas empresas simplesmente “requerem” que a empresa “suspeita” execute software de auditoria em seus sistemas que em tese apenas levantaria os dados e licenças. Porém, não se sabe o que um executável pode realmente fazer em uma empresa e deste modo, a empresa investigada estaria sacrificando seus bens, ativos, informações e sua segurança ao proceder com a “recomendação” da titular de softwares. Logo, a nosso ver, outros meios menos invasivos podem ser adotados para que a empresa demonstre seu estágio em relação ao licenciamento de software, sem que tenha que se tornar absolutamente exposta. Nada obriga a empresa investigada a recusar-se a proceder com instalação de qualquer aplicativo em seu parque tecnológico.

Outras empresas ainda, adotam DRMS (Digital Rights Management) que procuram uma conexão com a internet e “deduram” aos servidores da titular dos direitos os dados de licença no parque da empresa suspeita. Assim, a empresa titular tem um raio X das versões instaladas na empresa suspeita e se são regulares ou não. O grande problema é que este relatório não pode ser considerado prova “cabal” de contrafação, considerando que a rede da empresa suspeita pode ser utilizada por outras pessoas que detinham softwares piratas. Além do mais, a empresa investigada pode requerer acesso aos dados coletados e se invasivos (dados a mais coletados, como arquivos, pastas e informações sensíveis) pode inclusive mover uma ação em face da titular dos direitos, considerando o abuso nítido no direito de verificar se suas licenças são regulares. No Brasil, já se entendeu que a busca e apreensão em computador com programa espião é ilegal (https://www.conjur.com.br/2013-nov-22/luiz-sartori-busca-apreensao-computador-programa-espiao-ilegal)

Deste modo, a verificação e investigação de softwares contrafeitos é legal, mas deve ser realizada com muita cautela, para que a ânsia em descobrir contrafatores não sobreponha ou pisoteie outros direitos das empresas supostamente irregulares. O uso de ameaças, ofensas, ou a imputação de crimes, sem um devido processo legal, podem gerar processos reversos em face da titular dos direitos de programa de computador. Diante de uma notificação a empresa suspeita deve imediatamente contatar um advogado especializado em direito digital e informática, bem como com sua equipe de TI realizar uma revisão em sua tecnologia, avaliando possíveis desconformidades.

É importante levantar o inventário de máquinas e seus comprovantes de licença de softwares, notas, recibos, etc. A empresa deve estar ciente de que não é obrigada a fazer ou deixar de fazer algo que não se obrigou contratualmente ou sem ordem judicial. Caso ocorra uma busca e apreensão, é essencial que a empresa contrate um perito em informática, que atuará como assistente técnico, formulando quesitos e contra-laudo. Deve revisar o mandado e verificar seus limites, restringindo o acesso à empresa de pessoas não constantes do mesmo. Deve acompanhar todos os exames para garantir que observaram a melhor prática e que não foram invasivos.

Em qualquer das hipóteses, quer notificada ou diante de um processo de produção de provas, é direito da empresa saber como a titular obteve informações de que haveria software contrafeito (a delação anônima é vedada pela Constituição Federal), até mesmo para que possa exercer seu direito a defesa e principalmente, responsabilizar denuncias levianas. De se destacar, igualmente, nada sendo encontrado de irregular, caberá ao jurídico avaliar a abordagem e eventuais danos sofridos pela ação da empresa titular, acusadora, e se o caso, promover a respectiva ação de responsabilização civil.

Neste sentido já entendeu o Superior Tribunal de Justiça, o que vai ao encontro de diversas condenação de empresas de programas de computador (softwares) por abusos em medidas de busca e apreensão ou produção de provas:

“RECURSO ESPECIAL. RESPONSABILIDADE CIVIL. MICROSOFT. SUSPEITA DE PIRATARIA DE SOFTWARE. CAUTELAR DE VISTORIA, BUSCA E APREENSÃO. ABUSO DE DIREITO CONFIGURADO. DANOS MORAIS. QUANTUM. REEXAME DE PROVAS. SÚMULA 07/STJ.
1. Ação de indenização movida por empresa demandada pela Microsoft, mediante ação de busca e apreensão, para vistoria de seus computadores e verificação da ocorrência de pirataria de” software “.
2. Vistoria realizada, mediante ordem judicial concedida” inaudita altera pars “, que não localizou nenhum” software “da empresa requerente da medida.
3. Apesar da importância de se assegurar ao autor de obra intelectual o direito de fiscalização de sua correta utilização, reconhecimento, no caso, da ocorrência de abuso de direito.
4. Interpretação do disposto no art. 14, § 5º, da Lei 9.609/98, à luz da norma do art. 187 do CC/2002.
5. Elisão das conclusões do aresto recorrido que demandaria o revolvimento dos meios de convicção dos autos, providência vedada nesta sede nos termos da súmula 07/STJ.
6. Manutenção do valor arbitrado com razoabilidade pelas instâncias de origem a título de indenização pelos danos morais (cem mil reais) para o caso concreto.
7. RECURSO ESPECIAL DESPROVIDO”

(REsp 1.114.889/DF, Rel. Ministro PAULO DE TARSO SANSEVERINO, TERCEIRA TURMA, julgado em 15/05/2012, DJe 30/10/2012 – nossos os grifos)

Como se verifica, as empresas titulares empreendem onerosos investimentos em softwares, aplicativos e utilitários e devem contar com rigoroso departamento de investigação e combate à pirataria. Por outro lado, não pode agir como bem entende, como num far west dos bits, onde primeiro atira, para depois ver em quem e se acertou.

Referências:

[1] https://coad.jusbrasil.com.br/noticias/3163040/abuso-de-direito-microsoft-e-condenada-a-indenizar-empresa

[2] https://www.conjur.com.br/2012-jun-25/microsoft-indenizar-empresa-100-mil-abuso-direito

Usuários de Netflix em Risco: Quais os direitos diante de invasão?

Fora descoberta uma vulnerabilidade no serviço NetFlix, reportada pelo especialista em segurança James Fisher. Basicamente, a falha consiste em explorar uma vulnerabilidade na transação entre Gmail e Netflix e como são feitos os logins.

Ao que verificado, o Gmail não faz distinção entre nomes de e-mails que contenham “.”(ponto). Assim, um e-mail [email protected] ou nome.usuá[email protected] seriam tratados da mesma forma.

Assim, um atacante pode criar um e-mail semelhante ao da vitima (assinante válido) para uma tentativa de checagem de cartão, dado que é enviado também para o hacker, que ativará o serviço que será faturado pela vítima.

Por fim, é possível em alguns casos até mesmo alterar o email de cadastro para obter acesso total à assinatura da vitima, que será, logicamente, cobrada para esta na fatura. Ao que destacado, a vulnerabilidade deveria ser corrigida pelo Google, já que este não faz a distinção dos nomes de e-mail.

As vitimas no Brasil que tiveram conta hackeada podem ter dados pessoais e financeiros expostos, e podem instaurar processo criminal por invasão de dispositivo informático, solicitando judicialmente ao Google ou Netflix os registros que indiquem quem é o atacante, além de registros financeiros.

Sem prejuízo, considerando o dano material e moral, é cabível acionar o Google e Netflix para reparação dos valores indevidamente faturados, bem como pelos danos causados envolvendo a “clonagem” ou uso indevido da conta.

De se destacar por fim que faz-se necessário atenção especial a SmartTVs que hoje permitem a conexão com inúmeros serviços, em especial NETFLIX, a partir de seus sistemas conectados à Internet. É muito importante utilizar roteadores com protocolo de segurança WPA2, ao contrário do WEP, presente em roteadores mais antigos.

Do mesmo modo, evitar realizar compras a partir de SmartTV, o que pode expor dados bancários e até mesmo clicar em opções e links desconhecidos, igualmente, não deixando pendrives e hds externos conectados à SmartTV com dados importantes

A guerra podre eleitoral está por vir com a propaganda paga na Internet

A Internet sempre foi o maior receito dos políticos de carreira. Em um cenário onde muitos tem a máquina, dinheiro, ou dominam algum meio de comunicação em massa como rádio, concessões ou afiliadas de TVs, liberar a rede para propaganda eleitoral era um perigo, considerando que não se sabe como os candidatos “sem condições” conseguiriam se projetar.

A campanha de OBAMA em 2008 e a da sua reeleição mostraram o poder do uso correto da Internet, de técnicas de otimização para os sites (SEO) a postagens recorrentes em horários estratégicos, passado por crowdfunding e pela presença em outras mídias pouco exploradas pela concorrência. Chegou-se a um resultado onde o mapa eleitoral se equivalia à curtidas e crescimento dos ativos digitais.

Em 2008, a primeira resolução que permitia a propaganda na internet era extremamente limitada e só permitia a propaganda via “sites”. Em 2009 a Lei eleitoral era alterada para permitir a internet como plataforma de propaganda de propaganda eleitoral. De lá para cá em todas as reformas eleitorais, um ponto nunca fora alterado: Não se poderia por dinheiro na Internet.

Na Internet era proibida qualquer tipo de propaganda eleitoral paga. E isso se justificava pois se na Internet fosse permitido “colocar dinheiro”, ela se equipararia à meios tradicionais, onde poucos tem acesso pleno (como revistas, jornais, etc.), mais uma vez se tornando uma forma de propaganda que privilegia alguns em detrimento da maioria dos candidatos.  Tudo mudou.

A reforma trazida pela Lei 13.488/2017 que alterou a Lei das Eleições liberou o impulsionamento de conteúdos contratados diretamente (e não via agências de marketing) com os provedores de aplicação de Internet, como Facebook, Instagram, etc, desde que com sede e foro no País.

Não bastasse, equiparou, para fins de impulsionamento, a priorização paga de conteúdos resultantes de aplicações de busca na Internet. Ou seja, está liberado pagar para “ser bem ranqueado” no Google (adwords) e outros buscadores. O cidadão está preparado para lidar com esta propaganda?

Quebra-se a isonomia e mais uma vez, quem tem mais irá aparecer em destaque, só que desta vez, não no rádio, TV, jornal ou nas ruas, mas na Internet. Mas não é só isso. Embora os gastos com impulsionamento sejam considerados gastos de campanha, sabe-se que existem formas de se impulsionar sem que necessariamente se tenha gastos. Estes meios “não oficiais” embora vedados pelo TSE, não encontram amparo investigativo e certamente serão utilizados para viralização de conteúdos e criação de caixas de ressonância, com destaque para os chatbots e botsprofiles, que são contratados a partir de outras aplicações que se conectam às redes sociais.

E não é só. A partir do primeiro dia de propaganda seremos bombardeados com posts pagos e impulsionados que terão a expressão “propaganda eleitoral”, mas em meio a um mar de propaganda patrocinada e impulsionada, quem garantirá que terceiros não impulsionem propagandas negativas disfarçadas? Ou mesmo quem garantirá quem estará na frente de quem nas buscas? Mais uma vez estamos falando dos algoritmos das redes sociais. Eles são honestos? Ou os mais habilidosos em palavras chave e otimização de campanhas se destacarão?

Já se pode imaginar, por exemplo, o impulsionamento e patrocínio de postagens a partir de palavras chave envolvendo o concorrente, ou mesmo de palavras negativas. Como reagir a isto na celeridade de um pleito eleitoral? A guerra podre da propaganda paga na Internet vai começar. Aos candidatos e comitês caberá monitorar as redes, reportar e representar ofensas, mas principalmente, em determinados casos, realizar judicialmente a quebra de sigilo e a busca de informações sobre os impulsionamentos e suas configurações, de modo a constatar se existe ou não alguma prática considerada abusiva ou impulsionamentos por meios não autorizados. Resta saber se o TSE, comitês e principalmente, provedores de aplicações, estão preparados para absorver estas demandas, impedindo que a internet seja usada para manipular a decisão de milhões de eleitores.

O que fazer diante de golpe ou fraude na emissão de passagens no sistema de Agências de Viagens?

As companhias aéreas que operam no Brasil possuem hoje poderosas e rígidas normas de segurança da informação. No entanto, é sabido que o atacante foca comumente nos usuários e consumidores que utilizam os portais e sistemas de compras de passagens.

No que tange às agências de viagem ou turismo, outro problema grave. Comumente estas celebram contratos com Companhias aéreas, que fornecem acesso ao portal para agências ou mesmo sistema de reservas, onde estas possuem algumas vantagens, como faturamento mensal, descontos, reservas de ultima hora, dentre outros.

É neste ponto que reside um grande perigo que tem prejudicado e lesado inúmeras agências que utilizam sistemas eletrônicos de reservas de passagens. O risco de um furto de credenciais, que será utilizado para emissão de passagens fraudulentas ou questionadas.

As agências normalmente não adotam regras mínimas de compliance e segurança da informação, não estão dispostas a investir em blindagem de seus equipamentos e manter um padrão de segurança alinhando com normas como COBIT, ITIL ou mesmo da família ISO 27000. O resultado, recebem da companhia aérea um acesso “MASTER” para cadastro de usuários que poderão emitir passagens, não gerenciando estas contas, não aplicando senhas fortes, não revogando permissões, dentre outras omissões que custam caro.

Como se sabe, criminosos hoje podem usar técnicas, que vão desde pishinhg scam até engenharia social para conseguirem estes acessos. Alguns até conseguem sniffar o tráfego da agência, capturando senhas. Desde modo, o ataque normalmente permite que centenas de passagens sejam emitidas, em curto espaço de tempo, para inúmeros passageiros, alguns que voam, outros no show. 

Seja como for, ao final do mês a agência, se não adotar mecanismos de segurança e não contratar uma perícia em informática para identificar origem da fraude e forma de atuação, receberá uma fatura elevadíssima da operadora e logicamente que será cobrada a pagar, considerando que “deu causa” às emissões fraudulentas.

Assim, diante de uma fraude de compras de passagens, o primeiro passo é preservar o ambiente da agência para uma perícia que possa constar se está seguro e se não, como se deu a infecção. Após, o caminho é a buscar um advogado especializado em crimes na internet ou direito digital, para que possa, diante da ausência de fraude, acionar a operadora para revisão dos valores cobrados.

Importante destacar que se trata de uma medida onde a perícia e a assistência técnica em informática são essenciais, do mesmo modo em que um advogado especializado em direito digital é desejável, pois será necessário compreender questões envolvendo token, certificado digital, transações via API, banco de dados, sistemas específicos e outras áreas.

Deve se destacar, conforme diversos julgamentos no Brasil, que a companhia aérea não será responsabilizada caso demonstre que ofereceu instruções à agência, recursos para sua proteção e que seu ambiente é seguro, demonstrando ainda culpa exclusiva da vítima, em ceder ou negligenciar com suas senhas ou não utilizar os controles disponibilizados para aprimoramento da segurança. De se destacar que a quebra de sigilo que indique inúmeros Ips, inclusive fora da sede da agência, por si só, não é motivo para se atribuir a responsabilidade à companhia, considerando que é da essência do negócio que seja permitido à agência emissões de qualquer localidade e horário.

Um perito em informática poderá avaliar o ambiente da agência, assegurar adoção de boas práticas e até mesmo constatar inexistência de vulnerabilidades, em laudo técnico forense, de uso em juízo, importante prova e que reforçará judicialmente o entendimento sobre quem deu causa ou permitiu a efetivação da fraude.

José Milagre esclarece sobre a vingança pornô (revenge porn), e quais orientações as vítimas devem seguir para remover esses conteúdos de WhatsApp e Internet.

Procure um Advogado especializado em Direito Digital e Internet.

Muitas pessoas físicas e jurídicas são constantemente alvo de ofensas, calúnias, injúria, difamação ou mesmo vitimas de vazamento de fotos, áudios e vídeos íntimos ou privados, em cenas de nudez ou em situações vexatórias. Em época eleitoral, é a vez de candidatos sofrerem com fakenews, mentiras e ofensas circulando em comunicadores. Se não contidas, estas mentiras podem ganhar proporções perigosas. Normalmente, quando postados em redes sociais, como Facebook por exemplo, havia maior facilidade na identificação e remoção do conteúdo.

O grande problema reside quando a difusão de conteúdos ofensivos se dá por meio de grupos de comunicadores e chats. As pessoas se sentem encorajadas em divulgar ofensas e a intimidade de terceiros em tais ambientes, crentes de que a comunicação é privada e que não serão identificados. O WhatsApp, por exemplo, é considerado o favorito para crimes cibernéticos no Brasil. Coopera-se para isso a própria atuação dos proprietários dos aplicativos, que resistem em ajudar autoridades judiciais em casos de vingança pornô ou ofensas que correm os referidos comunicadores.

A vitima normalmente descobre que tem uma ofensa circulando quando é alertada por amigos e muitas vezes não tem informações sobre qual ou quais números estão divulgando ou publicaram as ofensas. As vezes, tudo que a vítima tem é o nome de um grupo.

O Judiciário está aprendendo com os recorrentes casos e já vem entendendo que a vítima, conhecedora apenas do nome de um grupo, pode ter o direito de saber o número telefônico de todos os integrantes, inclusive administradores. Assim já entendeu o Tribunal de Justiça de São Paulo em aresto recente:

Assim, em que pese os “nomes de usuários” e os conteúdos das conversas, a principio, não sejam de fácil acesso, é possível à vitima judicialmente descobrir quem eram as pessoas que estavam em “grupo” onde se espalhou ofensas à sua honra ou violou-se sua intimidade. Basta ter conhecimento do “nome do então grupo” ou demais meios de prova que conseguir.

Porém, deve-se destacar que consoante já afirmamos em parecer recente, os usuários e criminosos digitais podem usar chips falsos ou números em nome de laranjas, razão pela qual, nos termos do Marco Civil da Internet, é dever do provedor de aplicações fornecer os registros de acesso a aplicação relativos a um usuário, envolvendo datas, horários, endereço IP e fuso horário dos acessos. Os dados fornecidos, em cotejo com outros elementos de prova, permitirão à vitima comprovar de forma inequívoca a autoria, origem e responsáveis pela difamação online, possibilitando seja responsabilizados pelos danos causados.

A estratégia Marketplace vem sendo considerada por inúmeros lojistas virtuais, pois oferece a possibilidade de expor seus produtos nos principais varejistas do Mercado, normalmente pagando uma comissão pelas vendas.

Aqui temos algumas figuras. O “seller”, que é quem vende o produto no Marketplace. E o “marketplace” em si, o “local” ou “loja virtual” que expõe os produtos de diversos vendedores, valendo-se de sua popularidade, prestígio ou estratégias de marketing.

Em termos de responsabilidade, o “seller” normalmente tem a obrigação de receber o pedido e remeter o produto ao cliente. O “marketplace”, expõe o produto e encaminha as compras realizadas pelos consumidores. Na prática, porém, ações podem igualmente arrolar o marketplace por falhas do vendedor.

Como sabemos, o imposto principal incidente nas operações desta natureza é o ICMS (Imposto sobre Circulação de Mercadorias e Serviços). Pode ser que se “venda” serviços, momento em que poderá incidir o ISS (Imposto Sobre Serviços). Em operações interestaduais, temos que o imposto é dividido entre o Estado de origem da mercadoria e o de destino, considerando a alíquota interna do Estado de destino. (Previsão estampada na Emenda constitucional 85 de 2015). Há uma previsão para que gradativamente o Estado de destino vá ficando com a maior parte na divisão do imposto.

Em São Paulo, também existe o decreto 62.250/2016, que institui o regime especial de tributação. Com o decreto, as empresas que realizam operações interestaduais via e-commerce poderão adquirir mercadorias sem aplicação da substituição tributária, recolhendo ICMS somente quando derem a saída dos produtos, o que desonera o capital de giro das empresas digitais (varejistas).

De volta ao marketplace, temos a incidência de diferentes impostos. Imaginemos que o Seller vende um curso de R$ 1.000,00 no marketplace. Um cliente faz a compra. Neste momento, o cliente utiliza o sistema de pagamentos do marketplace que recebe o valor para o seller. O seller então envia o produto, emitindo uma nota fiscal cheia do valor do produto, onde este irá recolher o imposto devido (ISS, no caso de cursos).

De se destacar que para alguns produtos digitais, importante observar item previsto na Lei Complementar 157/2016, que estabelece incidir ISS para os serviços de “disponibilização, sem cessão definitiva, de conteúdos de áudio, vídeo, imagem e texto por meio da internet, respeitada a imunidade de livros, jornais e periódicos. “

Assim, no exemplo, se o curso é acessado mediante login e senha, mas sem disponibilização definitiva (download, ou senha perpétua), é cabível o ISS. De outra ordem, caso ocorra a disponibilização definitiva, com a venda dos conteúdos, cessão de direitos, incidirá o ICMS, conforme aliás orientado pela Portaria CAT 24/2018.

Lembrando, incidem ainda os demais tributos, PIS, COFINS, IRPJ, e a CSLL.

Entregue o produto em dia, é hora do marketplace repassar o valor das vendas ao seller.

Neste caso, é importante destacar que o marketplace presta em verdade um “serviço” ao “seller”, servindo como plataforma para venda de seus produtos (normalmente se enquadrando em uma empresa de tecnologia ou intermediação). Então, normalmente, o marketplace vai repassar o valor da venda R$ 1.000,00, deduzidos o valor da comissão e do ISS (Imposto sobre serviços). Também deverá reter o valor do imposto de renda a ser recolhido pelo seller em seu nome.

Assim, em meio a confusão frequentemente comum, é importante destacar que o imposto sobre a venda/prestação de serviços ao cliente é obrigação do vendedor (seller) e que o marketplace é apenas o intermediário, podendo gerenciar temporariamente o dinheiro de terceiros. Releva notar que e-commerces cadastrados no Simples Nacional são isentos de pagar múltiplos impostos, mas seus rendimentos anuais não devem ultrapassar R$ 3.6 milhões.

Lembrando que o para produtos físicos, normalmente o seller irá expedir uma NF-e de mercadoria ou venda. Já para produtores digitais, normalmente, será expedida NFS-e, ou seja, a nota fiscal de serviços. Exemplos de produtos que se enquadram nesta categoria são cursos online, webinars, congressos online, etc., desde que, como visto, não sejam disponibilizados de forma definitiva ao consumidor.

Algumas empresas marketplaces, como AirBnb e Uber, também expedem NFS-e, já que prestam serviços aos sellers que usam suas plataformas para transacionar. O mesmo vale para consultorias, clínicas, profissionais liberais em geral, que expedirão as referidas notas aos clientes. Para serviços recorrentes, o marketplace pode optar por expedir nota fiscal por transação ou no final do mês uma nota com todas as transações realizadas.

Alguns marketplaces prestam serviços não para “sellers”, mas para usuários, pessoas físicas, como no caso de uma pessoa que disponibiliza um “quarto” para ser locado. Nestes casos específicos esta pessoa poderá pagar o carnê leão pessoa física (renda), que tem impostos mais caros. No caso, não há prestação de serviços, mas locação. Outras pessoas físicas que prestem outro serviços poderão abrir um CNPJ, lembrando que se forem MEI, estarão dispensadas de expedição de nota fiscal para pessoas físicas.

Assim, é evidente que no caso de um “prestador de serviços” que use o marketplace, este terá que expedir documento fiscal para o cliente. Como visto, além do ICMS ou ISS, incidem também nas operações online o ICMS substituição tributária, em determinadas situações, bem como COFINS e PIS sobre o faturamento do seller ou do marketplace, além é claro do IRPJ e da CSLL.

Cabe mencionar, igualmente, recentemente o STF entendeu que o ICMS não integra a base de cálculo do PIS/CONFINS, sendo o entendimento aplicável também para o ISS (Recurso Extraordinário Nº 574.706), cabendo assim o direito de sellers e marketplaces em buscarem a repetição dos valores indevidamente pagos ou verem declarada a inexigibilidade.

Quanto à questão territorial, o ISS é devido ao município que abriga o estabelecimento do prestador do serviço. Não demais ressaltar que o Marketplace não deve recolher a alíquota do imposto sobre todos os valores que possui em sua consta bancária, considerando ser a maior parte considerada “valores de mero ingresso”, ou seja, valores a serem repassados aos sellers, logo, não devem ser considerados para fins de incidência de PIS, COFINS, IRPJ e CSLL, tão pouco integram o faturamento das empresas que se enquadram no simples nacional.

Em conclusão, frise-se que o marketplace não tem obrigação de gerenciar procedimentos tributários para o seller, que muitas vezes acredita que a burocracia do marketplace já cobriria as suas obrigações tributárias, o que é um erro.

Compreender qual o melhor regime de tributos para sua startup e desenhar um planejamento adequado é essencial para se reduzir carga tributária, bem como para se evitar problemas com multas e autuações por parte do fisco. A exemplo, empresas e marketplaces que são classificadas como serviços de intermediação de negócios podem migrar para um anexo do Simples Nacional com alíquota menor.

Uma consultoria jurídica especializada em negócios digitais poderá proporcionar a segurança necessária para estruturação e operação digital, evitando-se multas e infrações tributárias que podem impactar diretamente nas operações da empresa.

José Antonio Milagre é Advogado especialista em Direito Digital, consultor e mentor de negócios digitais, mestre e doutorando pela UNESP, presidente da Comissão de Direito Digital da OAB/SP, Regional da LAPA. www.direitodigital.adv.br