2008 PPP Advogados. Todos os direitos reservados. Dra. Patricia Peck Pinheiro Dra. Patricia Peck Pinheiro Seminário Internacional de Crimes Cibernéticos e Investigações Digitais Seminário Internacional de Crimes Cibernéticos e Investigações Digitais

2008 PPP Advogados. Todos os direitos reservados. 2 Resumo Perfil Dra. Patricia Peck Pinheiro sócia fundadora da Patricia Peck Pinheiro Advogados (PPP Adv); formada em Direito pela Universidade de São Paulo; especialização em negócios pela Harvard Business School; MBA em marketing pela Madia Marketing School; Autora do livro “Direito Digital” pela Editora Saraiva; Co-autora dos livros e-Dicas, Internet Legal e Direito e Internet II; Professora da pós-graduação da Senac-SP, FAAP, IMPACTA, IBTA e FATEC; Experiência internacional de Direito e Tecnologia nos EUA, Portugal e Coréia; Início da carreira como programadora aos 13 anos; Colunista do IDG Now e articulista da Gazeta Mercantil, Valor Econômico, O Dia, Estadão, Revista Executivos Financeiros, Capital Aberto, Info Exame, Info Corporate, About, Revista Marketing, entre outros. Ministra treinamentos em parceria com a ABA – Associação Brasileira de Anunciantes, Relatório Bancário, ABBC – Associação Brasileira de Bancos Comerciais e Febraban. Já treinou mais de profissionais.

2008 PPP Advogados. Todos os direitos reservados.

2008 PPP Advogados. Todos os direitos reservados. 4 Do que precisamos para que o Ordenamento Jurídico Brasileiro possa de fato combater o crime eletrônico?

2008 PPP Advogados. Todos os direitos reservados. 5 O que é de fato relevante Capacidade de verificar autoria – a questão da Identidade Digital – como saber quem está atrás da máquina (o IP?); Tempo de guarda de evidências por terceiros – as testemunhas são as máquinas; Tipificação correta com definição adequada da terminologia técnica – para não soltar o bandido e prender o inocente; Agir rápido com capacitação da autoridade policial – para conseguir de fato investigar rapidamente o incidente; Melhoria da parte de execução penal – vamos colocar a pessoa que faz um vírus junto de quem cumpre pena por assalto a mão armada, homicídio – vai virar o bandido 2.0? Crimes Eletrônicos

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos 6 Principal Paradoxo O direito à Segurança conflita naturalmente com o direito a Privacidade. O indivíduo deve ser protegido de arbitrariedades – conquista com o artigo 5º. CF/88, mas isso não pode servir como dificultador para se punir criminosos. As liberdades individuais ficam diminuídas perante um bem maior, que é a proteção da coletividade, da sociedade como um todo. Como fica o princípio de anonimato e liberdade desmedida trazida pela Internet? Entendemos que a pessoa pode sim ter um apelido ou avatá, mas em algum momento quando ela entra na Internet o provedor deve ter os dados de identificação.

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos 7 Visão mais atual sobre os dados De quem são os dados de conexão e tráfego? Um número de IP não é uma pessoa.... O que um IP acessou e navegou não é uma pessoa... Estas informações são essenciais para iniciar a análise sobre se é possível ou não saber quem é a pessoa... Não podemos trazer o direito de privacidade para as máquinas, e sim para as pessoas.....assim como não mandamos prender máquinas.... Precisamos separar 3 tipos de informação: –A que pode ser passada com notificação extrajudicial; –A que pode ser passada com ofício de autoridade (saber o IP, os dados cadastrais do usuário do serviço, o tráfego); –A que precisa de ordem judicial expressa(ex: acessar uma caixa postal de e ver o conteúdo).

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos 8 Punição Proporcional Fazer um vírus de computador deve ser punido? Sim, mas como diferenciar fazer software de fazer vírus – tem que definir claramente o que é malicioso? Qual a pena (não houve o dano consumado, há o dano potencial....)? Passar uma mensagem falsa com vírus (comum nos boatos) para frente é crime (disseminar....)? Como definir a intenção? Todos vão dizer que “foi sem querer”. Mas até minha mãe pode ser presa?......ela acredita em tudo que recebe por e me envia....? E se fazer passar por outra pessoa usando a senha dela de ou da rede, o computador e IP dela, é um simples crime de falsa identidade (307 e 308), ou é mais grave? Já que esta pessoa se torna laranja virtual, a primeira suspeita?

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos O direito de legítima defesa Para reagirmos em tempo real em uma situação de crimes eletrônicos podemos aplicar o princípio da Legítima Defesa já prevista no Código Penal Brasileiro? SIM, pois como o particular, as empresas e suas equipes de Segurança da Informação e de Resposta a Incidentes podem agir sem esta guarida legal.... Mas até aonde vai o limite da investigação particular (se fazer passar por outra pessoa? Flagrante preparado?) E a autoridade está preparada para conduzir? Temos que ter cuidado para não tipificar como ilícita a conduta dos mocinhos...mas também não se pode “fazer justiça com o próprio mouse....” 9

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos A educação dos usuários Precisamos educar as novas gerações sobre o uso ÉTICO, SEGURO e LEGAL da tecnologia; Não pode o jovem achar que pode fazer tudo, que internet não tem lei.... A educação gera prevenção, protege o jovem ensinando como se defender.....dificulta a vida do criminoso... A educação evita que o jovem ache que o crime compensa..... Precisa passar a regra do jogo no jogo.... Afinal, “diga-me com quem navegas que eu te direi quem és”... 10

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos Dispositivo de comunicação, sistema informatizado, identificação de usuário e autenticação de usuário Art. 154-C. Para os efeitos penais, considera-se: dispositivo de comunicação.... sistema informatizado.... rede de computadores.... defesa digital.... código malicioso A definição de conceitos deveria ser feita por instituição com conhecimento e competência para tanto, como por exemplo o CERT – BR junto com o Mercado.

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos Art. 154-D. Divulgar, ou tornar disponíveis, para finalidade distinta daquela que motivou a estruturação do banco de dados, informações privadas referentes, direta ou indiretamente, a dados econômicos de pessoas físicas ou jurídicas, ou a dados de pessoas físicas referentes a raça, opinião política, religiosa, crença, ideologia, saúde física ou mental, orientação sexual, registros policiais, assuntos familiares ou profissionais, além de outras de caráter sigiloso, salvo por decisão da autoridade competente, ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal. Acreditamos que deveria retirar o termo “definidos em lei” a exemplo do que ocorre com a Lei de Tóxicos quem define o que é entorpecentes é uma portaria da Anvisa, assim poderíamos deixar à critério do CGI ou ainda do Comitê Gestor de Segurança da Informação definir isso e manter a lista atualizada.

2008 PPP Advogados. Todos os direitos reservados. Art. 163-A. Criar, inserir ou difundir vírus em dispositivo de comunicação ou sistema informatizado, com a finalidade de destruí-lo, inutilizá-lo ou dificultar-lhe o funcionamento. Dano por Difusão de Vírus Eletrônico Recomendamos revisar o uso do termo “vírus” e alterá-lo para código malicioso (para abranger rootkits, bots, outros). Crimes Eletrônicos

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos Provedores Determina a obrigatoriedade de guarda dos dados daquele que provê acesso pelo prazo de 3 anos – até pouco tempo atrás o Google armazenava por 30 dias e após a CPI da Pedofilia o prazo aumentou para 180 dias – os dados deverão ser suficientes para a identificação do usuário e prevê multa de R$ 2.000,00 até R$ ,00 pela não preservação das informações. Não entendemos que dados de conexão e tráfego são protegidos por privacidade. Exigir ordem judicial para tudo vai inviabilizar a Justiça, vai onerar a vítima a ter que entrar com ação para saber se tem um caso.... -Há informações para mera notificação do particular; -Há informações mediante pedido de autoridade policial, ministério público mediante ofício das autoridades; -Há informações mediante expressa ordem judicial.

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos Obrigações dos provedores de acesso ou de serviços Obrigações dos provedores de acesso ou de serviços Prazo de 3 anos.....será? Por certo, não pode ser apenas por “expressa ordem judicial”.....por que? Privacidade da máquina? Esclarecer aos usuários que estão sob lei brasileira; Fazer campanhas de alerta quanto ao uso criminoso da rede de computadores; Divulgar boas práticas de segurança; Toda medida educacional é extremamente válida! Crimes Eletrônicos

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos Art. 171-A – (phishing) – Fraude Art. 171-A – (phishing) – Fraude Difundir, por qualquer meio, programa, conjunto de instruções ou sistema informatizado com o propósito de levar a erro ou, por qualquer forma indevida, induzir alguém a fornecer, espontaneamente e por qualquer meio, dados ou informações que facilitem ou permitam o acesso indevido ou sem autorização, à rede de computadores, dispositivo de comunicação ou a sistema informatizado, com obtenção de vantagem ilícita, em prejuízo alheio: Pena – reclusão, de um a três anos. Apesar de ser viável a criação de um tipo penal específico para os casos de phishing, a pena atribuída à este delito ficou bastante branda, já que há possibilidade de suspensão condicional do processo. Este crime foi bastante debatido no meio jurídico e a jurisprudência já é pacífica que o crime é o de furto qualificado que possui no Código Penal em vigor pena superior a determinada no artigo em questão (sugerido pelo PL) e ainda não fornece a possibilidade da suspensão condicional do processo.

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos Art. 183-A. Para efeitos penais, equiparam-se à coisa o dado, informação ou unidade de informação em meio eletrônico ou digital ou similar, a base de dados armazenada, o dispositivo de comunicação, a rede de computadores, o sistema informatizado, a senha ou similar ou qualquer instrumento que proporcione acesso a eles. Crimes Eletrônicos A mudança não resolve o problema do furto de dados com uso do CTRL C CTRL V (levei mas deixei)... A equiparação feita pelo PLS não trará o efeito desejado pois caso o criminoso faça a cópia do arquivo e este ainda continue disponível para seu legítimo proprietário, não há de se falar em furto já que para que ocorra o referido crime é essencial a retirada da posse do proprietário.

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos Art. 266-A. Difundir, por qualquer meio, programa, conjunto de instruções ou sistema informatizado com o propósito de induzir alguém a fornecer, espontaneamente e por qualquer meio, dados ou informações que facilitem ou permitam o acesso indevido ou sem autorização, a dispositivo de comunicação ou a sistema informatizado, ou a obtenção de qualquer vantagem ilícita: Difusão Maliciosa de Código Crimes Eletrônicos Quem difundiu? Pode pegar o inocente que passa pra frente...ou permitir que todo bandido diga que foi sem querer....

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos Ainda Falta Regulamentar o modelo de Identidade Digital em si; Que dados de fato são da pessoa e estão protegidos por privacidade (conteúdo de caixa postal), e os demais, podem sim ser solicitados para iniciar a investigação mesmo pelo particular, para saber se tem um caso ou não, para fazer um BO (não pode levar 30 dias para saber o que colocar no BO...); autoridade de auditoria; autoridade de aplicação da multa; a estruturação especializada dos órgãos da polícia judiciária. Crimes Eletrônicos

2008 PPP Advogados. Todos os direitos reservados O poder de polícia é do Estado, mas o indivíduo precisa poder agir no primeiro momento do incidente; O Estado de Direito exige que os operadores da justiça estejam alinhados com a nova realidade da sociedade digital – atualização, capacitação e TECNOLOGIA – sem ferramentas adequadas não tem como investigar o caso; A falta de leis adequadas prejudica. Como fazer o flagrante do crime eletrônico (pegar a pessoa com a mão na máquina)? Como pode o particular ter que entrar com ação judicial para saber se tem um caso ou não? Esperar uma liminar (se sair), há casos de mais de 180 dias para pedir dados cadastrais de um IP.... A impunidade coloca em risco a Sociedade Digital. Como conseguir a prova de autoria no crime eletrônico? E o flagrante? O anonimato é grande e a chance de erro também. Conclusão Final

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos 22 Conclusão Final Precisamos dar o exemplo; Precisamos estar preparados para agir; Precisamos padronizar um modelo de identidade digital obrigatória; Precisamos guardar as evidências eletrônicas de modo adequado, para que sirvam como prova jurídica e dar acesso às mesmas; Precisamos vigiar e monitorar; Precisamos denunciar e punir; Precisamos orientar e educar. O projeto está no caminho certo e nós estamos a disposição para contribuir na sua melhoria, pois precisamos de conformidade legal rápida.

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos

2008 PPP Advogados. Todos os direitos reservados. Crimes Eletrônicos

2008 PPP Advogados. Todos os direitos reservados. Aviso legal O presente material foi gerado com base em informações próprias e/ou coletadas a partir dos diversos veículos de comunicação existentes, inclusive a Internet, contendo ilustrações adquiridas de banco de imagens de origem privada ou pública, não possuindo a intenção de violar qualquer direito pertencente à terceiros e sendo voltado para fins acadêmicos ou meramente ilustrativos. Portanto, os textos, fotografias, imagens, logomarcas e sons presentes nesta apresentação se encontram protegidos por direitos autorais ou outros direitos de propriedade intelectual. Ao usar este material, o usuário deverá respeitar todos os direitos de propriedade intelectual e industrial, os decorrentes da proteção de marcas registradas da mesma, bem como todos os direitos referentes a terceiros que por ventura estejam, ou estiveram, de alguma forma disponíveis nos slides. O simples acesso a este conteúdo não confere ao usuário qualquer direito de uso dos nomes, títulos, palavras, frases, marcas, dentre outras, que nele estejam, ou estiveram, disponíveis. É vedada sua utilização para finalidades comerciais, publicitárias ou qualquer outra que contrarie a realidade para o qual foi concebido. Sendo que é proibida sua reprodução, distribuição, transmissão, exibição, publicação ou divulgação, total ou parcial, dos textos, figuras, gráficos e demais conteúdos descritos anteriormente, que compõem o presente material, sem prévia e expressa autorização de seu titular, sendo permitida somente a impressão de cópias para uso acadêmico e arquivo pessoal, sem que sejam separadas as partes, permitindo dar o fiel e real entendimento de seu conteúdo e objetivo. Em hipótese alguma o usuário adquirirá quaisquer direitos sobre os mesmos. O usuário assume toda e qualquer responsabilidade, de caráter civil e/ou criminal, pela utilização indevida das informações, textos, gráficos, marcas, enfim, todo e qualquer direito de propriedade intelectual ou industrial deste material.

2008 PPP Advogados. Todos os direitos reservados Dra. Patricia Peck Tel./FAX: © PPP Advogados. Este documento está protegido pelas leis de Direito Autoral e não deve ser copiado, divulgado ou utilizado para outros fins que não os pretendidos pelo autor ou por ele expressamente autorizados. Obrigada! Advogada especialista em Direito Digital; Formada em Direito pela Universidade de São Paulo; Especialização na Harvard Business School; MBA em Marketing pela Madia Marketing School; Autora do Livro Direito Digital pela Editora Saraiva; Co-autora dos livros e-Dicas, Internet Legal, Direito e Internet II; Programadora desde os 13 anos; Sócia da PPP Advogados; Já treinou mais de profissionais em SI; Experiência internacional nos EUA, Portugal e Coréia; Professora da pós-graduação do Senac, Impacta, Fatec, IBTA e FAAP.