Ataque de hackers na última semana ao sistema do Superior Tribunal de Justiça (STJ) abre discussão sobre o preparo do país para enfrentar o problema.
O ataque na última semana ao sistema do Superior Tribunal de Justiça (STJ) abre uma discussão sobre o preparo do Brasil e do Judiciário para proteger dados e processos contra a ação de hackers. Especialistas alertam que o país conta com um número insignificante de normas para inibir a prática, como o Marco Civil da Internet (Lei nº 12.965, de 2014) e a Lei Carolina Dieckmann (nº 12.737, de 2012), e penas brandas que não condizem com a gravidade de atos dessa natureza.
“O Código Penal [com a alteração da Lei nº 12.737] definiu que dar uma espiadinha não é crime”, diz o advogado Alexandre Atheniense, referindo-se às premissas exigidas pela norma para a configuração do crime previsto para invasão de dispositivo informático. “Se o hacker entra, criptografa e depois não deseja faturar com o resgate, em tese, não estaria cometendo um crime.”
A lei, no artigo 154-A, explica, exige a obtenção de “vantagem ilícita” para a configuração do crime e não trata especificamente da indisponibilidade dos dados ou informações, apenas de obtenção, adulteração ou destruição sem autorização expressa ou tácita do titular do dispositivo. “O prazer do hacker está em invadir dispositivos informáticos e acessar conteúdos que o cidadão normal não tem condição de fazer”, afirma Atheniense.
O número de ataques no país é grande, de acordo com levantamento da empresa internacional de cibersegurança Kaspersk. O Brasil respondeu por quase metade (46,69%) da 1,3 milhão de tentativas de ataques de ransomware na América Latina
entre janeiro e setembro. É um vírus que “sequestra” o servidor da vítima e, geralmente, cobra um valor pelo resgate.
Se pego, um hacker no Brasil estaria sujeito a uma pena baixa. São tímidas, desproporcionais e aquém da gravidade, segundo o especialista em direito digital Renato Opice Blum, chairman no Opice Blum, Bruno e Vainzof Advogados Associados. “Ninguém vai para a cadeia. É preciso atualizar essas normas”, diz. No caso Código Penal, acrescenta, não passa de três anos a pena máxima por invasão de sistema.
Uma das saídas para o aperfeiçoamento do arcabouço legal seria a adesão do Brasil à Convenção sobre Crimes Cibernéticos — também conhecida como Convenção de Budapeste. É o que defendem especialistas e o Ministério Público Federal (MPF).
O Brasil foi convidado a aderir à convenção no fim de 2019. O texto, porém, foi formalizado no ano de 2001 para combater os crimes cibernéticos. Mais de 60 países fazem parte, a maioria deles europeus, mas também participam Estados Unidos, Canadá e alguns latinos, entre eles Argentina, Colômbia e Peru.
Em julho, o presidente Jair Bolsonaro encaminhou o texto ao Congresso e, no mês seguinte, o procurador-geral da República, Augusto Aras, enviou ofício aos presidentes da Câmara e do Senado pedindo agilidade na tramitação da proposta.
Antes, o MPF já havia enviado uma nota técnica ao Itamaraty listando os benefícios para a adesão e esclarecendo dúvidas. Consta no documento que a Convenção de Budapeste “é o único instrumento internacional sobre crimes cibernéticos e provas eletrônicas”.
O MPF sustenta, no documento, que a adesão resultaria em um aperfeiçoamento da legislação e proporcionaria a harmonização das normas brasileiras com a de outros países, o que facilitaria a cooperação internacional em investigações e a extradição de envolvidos nos crimes.
“Atualmente, qualquer ataque cibernético que tenha por objetivo interferir em sistemas vitais da infraestrutura nacional pode em instantes, por exemplo, deixar o país sem energia ou comunicação, afetando diretamente a economia e segurança nacionais”, alertava.
O Brasil está “na idade da pedra” em termos de normas para combater a atividade hacker, diz o advogado Solano de Camargo, sócio-fundador da LBCA, especialista em direito digital, internacional e cibersegurança. “Não há uma política clara de ciberataque. Não há nenhum ato normativo administrativo que regule o comportamento do Estado perante o sequestro nacional de dados. O Brasil não é sequer signatário da Convenção de Budapeste.”
Para ele, o conjunto atual de leis — Marco Civil da Internet e Carolina Dieckmann — é insuficiente. França e Suíça, cita, têm normas, por exemplo, para permitir o contraataque cibernético, ao local de origem do hacker para tentar libertar os dados capturados. “A Lei Carolina Dieckmann, por exemplo, não separa o ataque do contra-ataque. Seria uma mesma atividade, ou seja, se estaria cometendo um ato ilícito.”
A pena prevista na norma, de acordo com o advogado Miguel Pereira Neto, também é branda: de três meses a um ano de prisão, podendo chegar a até dois anos dependendo do prejuízo econômico e social. Aos crimes de extorsão, acrescenta, aplica-se o artigo 158 do Código Penal e a pena varia de quatro a dez anos de prisão.
Penas que não inibem a prática, segundo especialistas. Grandes empresas passaram, neste ano, por situação semelhante a que o STJ está enfrentando. Com a Braskem, por exemplo, aconteceu no mês passado. O ataque foi reportado no dia 7 de outubro. No dia 19, a companhia comunicou o mercado que havia normalizado o acesso aos seus servidores e software, possibilitando a regularização das operações.
A Honda foi alvo um pouco antes, no mês de junho, e precisou suspender parte da produção de automóveis e motocicletas. A Raízen esteve sob ataque no mês de março e a Energisa passou por situação semelhante em abril.
O advogado Julio Janolio, sócio do escritório Vinhas e Redenschi, viu um desses ataques de perto. Uma empresa para quem atua perdeu por completo o controle do seu sistema.
“Houve sequestro do servidor. A empresa ficou sem acesso a toda base de dados, emails, sem nenhum registro fiscal e sem nenhum registro comercial”, recorda. Ele diz que a empresa só não parou por completo porque obteve liminar permitindo que pudesse transportar e vender as suas mercadorias sem nota fiscal.
Para o diretor de vendas da Netskope, que atua em segurança na nuvem, Vinicius Mendes, a saída é a prevenção. As empresas, afirma, devem investir em formas de proteção, como manter softwares atualizados, tecnologia de nuvem e ferramentas de segurança. “É fundamental porque se for infectado não existe chave mestra para descriptografar os dados.”
SOLANO DE CAMARGO É ENTREVISTADO SOBRE O TEMA EM OUTRAS MÍDIAS
Confira entrevista em outros portais: ConJur, Crypto ID e Migalhas.
Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a
