ASPECTOS DO PROJETO DE LEI (PL 84/99) SOBRE CRIMES INFORMÁTICOS Demócrito Reinaldo Filho São Paulo, 04 de agosto de 2009 w w w . i b d i . o r g . b r

CRIMES NA INTERNET Classificação: Crimes informáticos impuros Crimes informáticos puros w w w . i b d i . o r g . b r

CRIMES INFORMÁTICOS IMPUROS Em geral todos os crimes cometidos contra pessoas: crimes contra a honra na Internet: calúnia (CP, art. 138), difamação (CP, art. 139), injúria (CP, art. 140) ou Lei de Imprensa (Lei n. 5.250/67), nos seus artigos 20 a 22. racismo na Internet – CF, art. 5o., XLII, (racismo como crime inafiançável e imprescritível) e Lei 8.081/90 – pune com pena de reclusão (de 01 a 03 anos e multa) discriminação ou preconceito de raça, religião, etnia ou procedência nacional” (art. 20). pornografia infantil na Internet: a Lei Federal 10.764, de 12.11.2003, alterou o art. 241 do ECA, que trata do crime de produção e divulgação (inclusive pela Internet) de imagens de menores em cenas de sexo explícito. w w w . i b d i . o r g . b r

CRIMES INFORMÁTICOS IMPUROS crime de ameaça na Internet: art. 147 do CP. “on line grooming” : o ECA (Lei 8069/90) já pune os crimes de abuso e exploração sexual de menores “cybersltalking” ou “cyberharassment” - crimes de atentado violento ao pudor (art. 214 do CP) ou assédio sexual (art. 216-A) w w w . i b d i . o r g . b r

CRIMES INFORMÁTICOS PUROS Em geral são praticados contra sistemas informáticos ou visando um bem específico - a informação: spam phishing pharming DNS poisoning acesso indevido a sistema informático divulgação indevida de informação contida em banco de dados dano eletrônico difusão de códigos maliciosos (vírus) data jacking w w w . i b d i . o r g . b r

CRIMES INFORMÁTICOS PUROS Necessidade de tipificação Modus Operandi Tipos penais: claros e objetivos Princípio da Reserva Legal w w w . i b d i . o r g . b r

ESTATÍSTICAS SOBRE CRIMES NA INTERNET (Fonte: Symantec Security Report) aumento de furto de identidade (data theft) e vazamento de dados (data leakage) criação de códigos maliciosos visando organizações específicas para obtenção de informações e utilização para ganhos financeiros os criminosos (attackers) estão refinando seus métodos e agindo em escala global, mediante a formação de redes criminosas, para dar suporte a atividades criminais coordenadas. os EUA respondem por 31% da atividade criminosa registrada globalmente w w w . i b d i . o r g . b r

ESTATÍSTICAS SOBRE CRIMES NA INTERNET Denial of Service (DoS): uma média de 5.213 ataques por dia os EUA foram o alvo da maioria desse tipo de ataque, respondendo por 52% empresas do Governo foram o setor mais visado, respondendo por 30% dos ataques registrados w w w . i b d i . o r g . b r

ESTATÍSTICAS SOBRE CRIMES NA INTERNET Computadores infectados por bot: registrados 63.912 computadores infectados por dia, um aumento de 11% em relação ao período anterior  a China tem 26% dos computadores infectados  os EUA têm o maior número de computadores que controlam as máquinas infectadas (40%) w w w . i b d i . o r g . b r

ESTATÍSTICAS SOBRE CRIMES NA INTERNET Códigos maliciosos (trojans, worms, virus, keylogger): os “honeypots” da Symantec capturaram um total de 136 novos tipos de códigos maliciosos entre 1o. de julho a dezembro de 2008 w w w . i b d i . o r g . b r

ESTATÍSTICAS SOBRE CRIMES NA INTERNET Spam: no segundo semestre de 2008, as mensagens caracterizadas como spam representaram 59% do tráfico de e-mails. No semestre anterior, representavam apenas 54%. 65% por cento de todos os spam detectados no período são escritos em inglês. 0,68% dos spam continham códigos maliciosos, ou seja, uma em cada 147 mensagem de spam continha algum tipo de vírus. 44% das mensagens de spam foram originadas nos EUA 10% dos spam zombies estão localizados nos EUA w w w . i b d i . o r g . b r

ESTATÍSTICAS SOBRE CRIMES NA INTERNET Pishing: a Symantec registrou, durante o período pesquisado, um total de 166.248 tipos de mensagens de phishing, uma média de 904 tipos de mensagens por dia, um aumento de 6% em relação ao período anterior. a Symantec bloqueou 1.5 bilhão de mensagens de phishing no segundo semestre de 2008 (uma média de 8.48 milhão de phishing por dia), um aumento de 19% em relação ao semestre anterior. as instituições financeiras respondem por 84% do uso de suas marcas para ataques de phishing 46% dos sites clonados (spoofing sites) estavam localizados nos EUA w w w . i b d i . o r g . b r

ESTATÍSTICAS SOBRE CRIMES NA INTERNET Tendências apontadas no relatório: Novas táticas empregadas no phishing: uso de várias URL´s para evitar block lists intelligence lead phishing SmiShing — spam e phishing por meio de celulares (tecnologias SMS e MMS como novos vetores de crimes dessa natureza) w w w . i b d i . o r g . b r

PROJETOS DE LEI SOBRE CRIMES NA INTERNET PLC 89, de 2003 (n. 84, de 1999, na origem), do Dep. Luiz Piauhylino (altera o Código Penal) PLS n. 137, de 2000, do Sen. Leomar Quintanilha (consistia em apenas um artigo e visava a aumentar a pena até o triplo, para crimes cometidos por meio da tecnologia da informação) PLS n. 76, de 2000, do Sen. Renan Calheiros (tipificava condutas praticadas com o uso de computador, mas não alterava o CP) w w w . i b d i . o r g . b r

PROJETOS DE LEI SOBRE CRIMES NA INTERNET todos referentes a crimes informáticos tramitaram em conjunto a partir de 2005 Substitutivo aprovado no Senado (do Sen. Eduardo Azeredo), tendo retornado à Camara, onde também já foi aprovado em plenário no atual estágio de tramitação, somente admite emenda supressiva ou veto presidencial w w w . i b d i . o r g . b r

PROJETOS DE LEI SOBRE CRIMES NA INTERNET resultará na primeira lei brasileira que trata de uma maneira ampla e sistematizada dos crimes informáticos não apenas cria tipos penais novos, mas estende o campo de incidência de algumas figuras já previstas no CP para novos fenômenos ocorrentes nos meios desmaterializados adapta o direito interno à Convenção de Budapeste (do Conselho da Europa) sobre cibercrimes w w w . i b d i . o r g . b r

PROJETOS DE LEI SOBRE CRIMES NA INTERNET Antes deles, apenas a Lei 9.983, de 14.07.2000, havia introduzido no CP: a figura qualificada do crime de divulgação de segredo (art. 153, §1º-A), cujo tipo prevê pena (de detenção de 1 a 4 anos e multa) para aquele que divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública. o chamado "peculato eletrônico" (artigos 313-A e 313-B), os quais prevêem pena (reclusão de 2 a 12 anos e multa) para o funcionário público que praticar a inserção de dados falsos em sistemas de informações (art. 313-A), bem como para aquele que modificar ou alterar sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente (art. 313-B), sendo a pena neste caso de detenção de 3 meses a 2 anos e multa. w w w . i b d i . o r g . b r

PROJETOS DE LEI SOBRE CRIMES NA INTERNET (Substitutivo do Sen. Azeredo) Pontos polêmicos excluídos: art 21 – obrigação dos provedores de identificar e fazer cadastro dos usuários “defesa digital” w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo Art. 21 (excluído). “Todo provedor de acesso a uma rede de computadores sob sua responsabilidade somente admitirá como usuário pessoa natural, dispostivo de comunicação ou sistema informatizado que for autenticado por meio hábil e legal à verificação positiva da identificação de usuário, ficando facultado o uso de tecnologia que garanta a autenticidade e integridade dos dados e informações digitais ou o uso de outras entidades de dados de identificação de usuário já existentes que tenham sido constituídas de maneira presencial, de forma a prover a autenticidade das conexões, a integridade dos dados e informações e a segurança das comunicações e transações na rede de computadores, dispositivo de comunicação e sistema informatizado. Parágrafo único. A identificação do usuário de rede de computadores poderá ser definida nos termos de regulamento, sendo obrigatórios para a pessoa natural os dados de identificador de acesso, senha ou similar, nome completo, data de nascimento, um número de documento hábil e legal de identidiade e endereço completo, sendo obrigatória para o provedor de acesso a uma rede de computadores, para o dispositivo de comunicação e para o sistema informatizado a indicação de uma pessoa natural responsável” w w w . i b d i . o r g . b r

PROJETOS DE LEI SOBRE CRIMES NA INTERNET Polêmica que se estabeleceu e críticas que se seguiram à exigência da identificação positiva e cadastro dos usuários: afetam as garantias democráticas e o ambiente de liberdade que caracterizam a Internet perda da privacidade e restrição do acesso à Internet somente países autoritários como China, Cuba, Coréia do Norte e Irã controlam o acesso à Internet exigência ineficaz, pois os criminosos vão abrir conta em provedores de outros países exigências de identificação levariam à quebra dos pequenos provedores de Internet e somente favoreceriam o lobby das empresas de certificação digital w w w . i b d i . o r g . b r

w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo Par. 4o. do art. 154-A (excluído): “Nas mesmas penas incorre, o responsável pelo provedor de acesso à rede de computadores, dispositivo de comunicação ou sistema informatizado, que permite o acesso a usuário sem a devida identificação e autenticação ou que deixa de exigir, como condição de acesso, a necessária identificação e regular cadastramento do usuário. Pena – reclusão de 2 a 4 anos e multa. Art. 365-A (excluído): “Deixar de manter os dados de identificação de usuário e os dados de conexões realizadas por seus equipamentos, de valor probatório, aptos à identificação do usuário quando da ocorrência de crime, pelo prazo de três anos contados a partir da data de conexão, aquele que é o responsável pelo provedor de acesso à rede de computadores”. Pena- detenção de seis a três anos e multa. w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo LEI ESTADUAL/SP Nº12.228, de 11 de Janeiro de 2006 Artigo 1º - São regidos por esta lei os estabelecimentos comerciais instalados no Estado de São Paulo que ofertam a locação de computadores e máquinas para acesso à Internet, utilização de programas e de jogos eletrônicos, abrangendo os designados como "lan houses", cibercafés e "cyber offices", entre outros. Artigo 2º - Os estabelecimentos de que trata esta lei ficam obrigados a criar e manter cadastro atualizado de seus usuários, contendo: I - nome completo; II - data de nascimento; III - endereço completo; IV - telefone; V - número de documento de identidade. § 1º - O responsável pelo estabelecimento deverá exigir dos interessados a exibição de documento de identidade, no ato de seu cadastramento e sempre que forem fazer uso de computador ou máquina. § 2º - O estabelecimento deverá registrar a hora inicial e final de cada acesso, com a identificação do usuário e do equipamento por ele utilizado. § 4º - As informações e o registro previstos neste artigo deverão ser mantidos por, no mínimo, 60 (sessenta) meses. w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo “Defesa Digital” (excluída) – para que se possa isentar de pena, em alguns dos novos crimes, a manipulação de código malicioso por agente técnico ou profissional habilitado, em proveito próprio ou de seu preponente, e sem risco para terceiros, de forma tecnicamente documentada e com preservação da cadeia de custódia no curso de procedimentos correlatos, a título de teste de vulnerabilidade, de resposta a ataque, de frustração de invasão ou burla, de proteção do sistema, de interceptação defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e de práticas gerais de segurança da informação. w w w . i b d i . o r g . b r

“DILEMA GENERATIVO” popularização da Internet – o ciberespaço passou a ser o “lugar onde todos fazemos tudo” problemas de segurança na rede ameaçam o seu desenvolvimento (aumento da criminalidade nos espaços virtuais) e pode minar a confiança dos usuários (comércio eletrônico) por outro lado, há o desejo de que a Internet preserve com suas características originais, de rede “aberta” e “democrática” marco regulatório tem que assegurar o equilíbrio apropriado entre a necessidade de segurança nas tecnologias da informação e a garantia de proteção de direitos fundamentais w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) Altera as seguintes leis: Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), Decreto-Lei nº 1.001, de 21 de outubro de 1969 (Código Penal Militar), a Lei nº 7.716, de 5 de janeiro de 1989 (racismo) , a Lei nº 8.069, de 13 de julho de 1990 (ECA), e a Lei nº 10.446, de 8 de maio de 2002 (que dispõe sobre infrações penais de repercussão interestadual ou internacional que exigem repressão uniforme) Tipifica condutas realizadas mediante uso de sistema eletrônico, digital ou similares, de rede de computadores, ou que sejam praticadas contra dispositivos de comunicação ou sistemas informatizados e similares w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) Cria novos tipos penais: acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado (art. 285-A, do CP) obtenção, transferência ou fornecimento não autorizado de dado ou informação (art. 285-B, do CP) divulgação ou utilização indevida de informações e dados pessoais (art. 154-A, do CP) inserção ou difusão de código malicioso (Art. 163-A, do CP) estelionato eletrônico (art. 171, § 2º., VII, do CP) w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) estende a redação do art. 163 do CP (crime de “dano”) para incluir o “dado eletrônico alheio” acrescenta na redação do art. 265 do CP (atentado contra a segurança de serviço de utilidade pública) a expressão “informação ou telecomunicação” modifica a redação do art. 266 do CP (interrupção de serviço público) e acrescenta os termos “telemático, informático, de dispositivo de comunicação, de rede de computadores, de sistema informatizado ou de telecomunicação”  acrescenta, na definição do crime de falsificação de documento público (art. 297 do CP), o termo “dado eletrônico” acrescenta, na definição do crime de falsificação de documento particular (art. 298 do CP), o termo “dado eletrônico” altera o Código Penal Militar para inserir dispositivos nos mesmos moldes w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) traz em seu corpo (art. 16), para efeitos penais, os conceitos de: “dispositivo de comunicação”, “sistema informatizado”, “rede de computadores”, “código malicioso”, “dados informáticos” e “dados de tráfego” traz em seu corpo norma programática obrigando os órgãos de repressão criminal a se estruturarem para combater a criminalidade cibernética (art. 18) altera a redação do inc. II do § 3º do art. 20 da Lei nº 7.716/89, para possibilitar a cessação das transmissões “eletrônicas”, nos casos de crime de preconceito ou racismo altera o art. 241 da Lei 8.069/90 (ECA), passando a criminalizar a distribuição ou publicação de pornografia infantil na Internet altera o art. 1º. da Lei 10.466/02, para incluir os crimes informáticos dentre as infrações cuja repercussão exige repressão uniforme w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) Cria as seguintes obrigações para os provedores de acesso: 1ª. conservar, pelo prazo de 03 anos, os dados de conexão dos usuários (art. 22, I); 2ª. preservar outras informações, mediante requisição judicial (art. 22, II); 3ª. informar à autoridade competente denúncia que tenha recebido e que contenha indícios de crime sujeito a acionamento penal público incondicionado. w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) prevê que as condições de segurança do armazenamento dos dados de tráfego, a auditoria a que serão submetidos e a autoridade competente para realizá-la serão disciplinados em regulamento (§ 1º. do art. 22) prevê pena de multa (entre dois a cem mil reais) para o provedor que não preservar informações requisitadas pela autoridade judicial (§ 2º do art. 22) w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) Críticas: tipos penais muito abertos, abrangência e imprecisão na redação dos artigos, que geram efeitos colaterais graves dá margem a que condutas triviais e cotidianas dos usuários da Internet possam ser criminalizadas (incrimina downloads de arquivos, inviabiliza redes sem fio) cria tipos penais de perigo abstrato (que não se exige para a configuração do crime nenhum dano nem mesmo um perigo concreto a algum bem jurídico) transforma os provedores em “dedos-duros” e delatores de seus usuários tais problemas ocorrem sobremaneira com relação aos artigos 285-A, 285-B, 163-A em seu parágrafo primeiro, inciso VII do artigo 6° e inciso III do artigo 22. w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) alguns tipos deveriam ser categorizados como ilícitos civis, em função do seu menor potencial ofensivo restringe a liberdade das pessoas em nome de uma suposta maior segurança cerceia a liberdade de expressão e invade a privacidade das pessoas prejudica a inclusão digital projeto foi aprovado sem a devida discussão com a sociedade o projeto favorece os bancos penaliza os mais pobres, que dependem de espaços públicos para acessar a internet. a obrigatoriedade de armazenar os dados pode ser impraticável para os pequenos provedores e telecentros, que geralmente são instalados em pequenos espaços. w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) Acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado Art. 285-A. Acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso: Pena - reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte. w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) Obtenção, transferência ou fornecimento não autorizado de dado ou informação Art. 285-B. Obter ou transferir, sem autorização ou em desconformidade com autorização do legítimo titular da rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso, dado ou informação neles disponível: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Se o dado ou informação obtida desautorizadamente é fornecida a terceiros, a pena é aumentada de um terço. w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) Ação Penal Art. 285-C. Nos crimes definidos neste Capítulo somente se procede mediante representação, salvo se o crime é cometido contra a União, Estado, Município, empresa concessionária de serviços públicos, agências, fundações, autarquias, empresas públicas ou sociedade de economia mista e subsidiárias.” w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) “Divulgação ou utilização indevida de informações e dados pessoais 154-A. Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal. Pena – detenção, de 1 (um) a 2 (dois) anos, e multa. Parágrafo único. Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada da sexta parte.” w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) Inserção ou difusão de código malicioso Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado. Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Inserção ou difusão de código malicioso seguido de dano § 1º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado: Pena – reclusão, de 2(dois) a 4 (quatro) anos, e multa. § 2º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.” w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) “Art.171 ....................................................................................... § 2º Nas mesmas penas incorre quem: .......................................................................................... Estelionato Eletrônico VII – difunde, por qualquer meio, código malicioso com intuito de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado: § 3º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime do inciso VII do § 2º deste artigo, a pena é aumentada de sexta parte.” w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) Art. 22. O responsável pelo provimento de acesso a rede de computadores mundial, comercial ou do setor público é obrigado a: I - manter em ambiente controlado e de segurança, pelo prazo de três anos, com o objetivo de provimento de investigação pública formalizada, os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada por meio de rede de computadores e fornecê-los exclusivamente à autoridade investigatória mediante prévia requisição judicial; w w w . i b d i . o r g . b r

Substitutivo do Sen. Azeredo (versão atual) II - preservar imediatamente, após requisição judicial, outras informações requisitadas em curso de investigação, respondendo civil e penalmente pela sua absoluta confidencialidade e inviolabilidade; III - informar, de maneira sigilosa, à autoridade competente, denúncia que tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de computadores sob sua responsabilidade. w w w . i b d i . o r g . b r

Demócrito Reinaldo Filho e-mail: demo@ibdi.org.br