Perspectivas do Direito Penal

Empresas vítimas de cibercrimes: Uma visão prática

Empresas vítimas de cibercrimes: Uma visão prática.

20/9/2019


Texto de autoria de Leonardo Magalhães Avelar e Erika Mayumi Kawata da Silveira

O ritmo frenético de avanços tecnológicos é marcado pela capacidade de, com um simples toque, transmitir informações complexas, em questão de milésimos de segundos, entre pessoas espalhadas ao redor do mundo e a qualquer momento do dia. Essa transformação tecnológica tornou a informação pessoal um dos bens autônomos mais valiosos dos tempos modernos, sendo, inclusive, objeto de transações comerciais milionárias. Todavia, essas novidades e avanços não passaram despercebidos pelo sistema criminoso que, adaptando-se às novas eras tecnológicas, fez do dado pessoal, per se, seu mais novo alvo.

A partir disso, foram difundidos os cibercrimes, condutas humanas lesivas a bens jurídicos tutelados pelo Direito Penal, caracterizadas pelo uso da tecnologia, visando atingir, na maioria das vezes, dados, dispositivos e sistemas informáticos. Os agentes responsáveis por essas condutas são hábeis programadores, especialistas em tecnologia de informação, que se dedicam a invadir, manipular e modificar referidos dados, na maioria das vezes, com finalidade econômica.

Nesse contexto em que a informação pessoal é o mais novo alvo de infrações penais, a coleta de dados sobre pessoas e instituições, com foco específico em profissionais das áreas financeiras de grandes corporações, tem se tornado uma finalidade dos criminosos.

Dentre as condutas delituosas mais corriqueiras é possível citar o phishing, fraude do CEO e o whaling, que atacam, respectivamente, a empresa, os funcionários próximos ao executivo e o próprio executivo.

O phishing consiste em um golpe com alvos mais amplos, como uma empresa inteira. Nesse caso, por meio da internet, redes sociais e e-mails, os funcionários passam a receber mensagens falsas supostamente oriundas de instituições reconhecidas, que acessam as máquinas e instalam programas maliciosos (“malwares”) nos dispositivos da Companhia, a fim de coletar dados sigilosos de transações comerciais, segredos corporativos e dados de clientes.

No golpe da fraude do CEO são visados determinados funcionários, como secretárias e gerentes, com acesso direto aos executivos de primeiro escalão, os quais são estudados pelos criminosos e passam a receber e-mails que aparentam ter partido do próprio executivo, exigindo transferências financeiras e informações confidenciais, por intermédio de bem estruturada engenharia social.

Por fim, no caso do whaling, os alvos são os próprios executivos, cujas vidas são investigadas pelos criminosos, oportunidade em que passam a receber e-mails, mensagens e ligações com o objetivo de extrair segredos corporativos ou obter grandes quantias de dinheiro.

Essas condutas são classificadas como crimes cibernéticos impróprios, na medida em que consistem na prática de crimes "comuns" cometidos mediante a utilização da internet – ao contrário dos crimes cibernéticos próprios ou puros, que passaram a existir somente com o advento da tecnologia digital e que são perpetrados exclusivamente pela internet.

A invasão a dispositivos e sistemas de informática, portanto, é utilizada para induzir a vítima a erro ou para forçá-la a fazer, deixar de fazer ou tolerar que se faça algo, mediante ameaça ou não, com o fim de obter uma vantagem patrimonial ilícita ou informação sigilosa. Este último pode acarretar, inclusive, no crime de vazamento de dados confidenciais e segredos comerciais, gerando exposição ao risco de responsabilização civil e administrativa da companhia.

As medidas preventivas de combate ao cibercrime, de natureza pedagógica, têm como finalidade treinar, instruir e orientar os funcionários para evitar condutas que facilitem o acesso dos criminosos, além de reportar qualquer atitude suspeita, prevenindo a ocorrência dos delitos aqui tratados.

Por sua vez, no âmbito repressivo, os fatos devem ser levados ao conhecimento das Autoridades Públicas, para apuração dos possíveis delitos perpetrados, mediante diligências investigatórias consubstanciadas em exames periciais para identificação dos IPs do dispositivo que originou a infração e eventual quebra de sigilo telefônico e telemático dos usuários que enviaram os e-mails e mensagens suspeitas, a fim de identificar a autoria delitiva.

Em suma, as companhias devem tomar todas as precauções relacionadas ao Compliance cibernético para evitar a ocorrência dos mencionados delitos. Caso não seja suficiente, em caráter repressivo, é fundamental que medidas criminais sejam efetivadas, com o intuito de blindar a empresa contra eventual exposição de responsabilidade civil e administrativa; evitar precedente negativo entre funcionários internos, potencialmente envolvidos na prática fraudulenta; mitigar danos à imagem da companhia.

Veja mais no portal
cadastre-se, comente, saiba mais

Colunista

Leonardo Magalhães Avelar é o sócio responsável pela área de Direito Penal Empresarial do escritório Cascione Pulino Boulos Advogados. Com vinte anos de carreira e extensa prática contenciosa e consultiva, ele possui sólida experiência em liderança de equipe e coordenação jurídica de defesas criminais. Busca aliar elevada qualificação técnica no âmbito penal com sua abordagem estratégica interdisciplinar, envolvendo outras áreas do Direito. No exercício de sua atividade profissional, destaca pela empatia e proximidade que busca tratar os interesses de seus clientes nacionais e estrangeiros. Além disso, possui destacada e reconhecida atuação em Tribunais Estaduais, Federais e Superiores. Bacharel em Direito pela PUC/SP. Pós-graduado em Direito Penal Econômico Internacional pela Universidade de Coimbra. Pós-graduado em Direito Penal Econômico pela FGV.