COLUNAS

  1. Home >
  2. Colunas >
  3. Perspectivas do Direito Penal >
  4. Empresas vítimas de cibercrimes: Uma visão prática

Empresas vítimas de cibercrimes: Uma visão prática

sexta-feira, 20 de setembro de 2019

Atualizado às 09:36


Texto de autoria de Leonardo Magalhães Avelar e Erika Mayumi Kawata da Silveira

O ritmo frenético de avanços tecnológicos é marcado pela capacidade de, com um simples toque, transmitir informações complexas, em questão de milésimos de segundos, entre pessoas espalhadas ao redor do mundo e a qualquer momento do dia. Essa transformação tecnológica tornou a informação pessoal um dos bens autônomos mais valiosos dos tempos modernos, sendo, inclusive, objeto de transações comerciais milionárias. Todavia, essas novidades e avanços não passaram despercebidos pelo sistema criminoso que, adaptando-se às novas eras tecnológicas, fez do dado pessoal, per se, seu mais novo alvo.

A partir disso, foram difundidos os cibercrimes, condutas humanas lesivas a bens jurídicos tutelados pelo Direito Penal, caracterizadas pelo uso da tecnologia, visando atingir, na maioria das vezes, dados, dispositivos e sistemas informáticos. Os agentes responsáveis por essas condutas são hábeis programadores, especialistas em tecnologia de informação, que se dedicam a invadir, manipular e modificar referidos dados, na maioria das vezes, com finalidade econômica.

Nesse contexto em que a informação pessoal é o mais novo alvo de infrações penais, a coleta de dados sobre pessoas e instituições, com foco específico em profissionais das áreas financeiras de grandes corporações, tem se tornado uma finalidade dos criminosos.

Dentre as condutas delituosas mais corriqueiras é possível citar o phishing, fraude do CEO e o whaling, que atacam, respectivamente, a empresa, os funcionários próximos ao executivo e o próprio executivo.

O phishing consiste em um golpe com alvos mais amplos, como uma empresa inteira. Nesse caso, por meio da internet, redes sociais e e-mails, os funcionários passam a receber mensagens falsas supostamente oriundas de instituições reconhecidas, que acessam as máquinas e instalam programas maliciosos ("malwares") nos dispositivos da Companhia, a fim de coletar dados sigilosos de transações comerciais, segredos corporativos e dados de clientes.

No golpe da fraude do CEO são visados determinados funcionários, como secretárias e gerentes, com acesso direto aos executivos de primeiro escalão, os quais são estudados pelos criminosos e passam a receber e-mails que aparentam ter partido do próprio executivo, exigindo transferências financeiras e informações confidenciais, por intermédio de bem estruturada engenharia social.

Por fim, no caso do whaling, os alvos são os próprios executivos, cujas vidas são investigadas pelos criminosos, oportunidade em que passam a receber e-mails, mensagens e ligações com o objetivo de extrair segredos corporativos ou obter grandes quantias de dinheiro.

Essas condutas são classificadas como crimes cibernéticos impróprios, na medida em que consistem na prática de crimes "comuns" cometidos mediante a utilização da internet - ao contrário dos crimes cibernéticos próprios ou puros, que passaram a existir somente com o advento da tecnologia digital e que são perpetrados exclusivamente pela internet.

A invasão a dispositivos e sistemas de informática, portanto, é utilizada para induzir a vítima a erro ou para forçá-la a fazer, deixar de fazer ou tolerar que se faça algo, mediante ameaça ou não, com o fim de obter uma vantagem patrimonial ilícita ou informação sigilosa. Este último pode acarretar, inclusive, no crime de vazamento de dados confidenciais e segredos comerciais, gerando exposição ao risco de responsabilização civil e administrativa da companhia.

As medidas preventivas de combate ao cibercrime, de natureza pedagógica, têm como finalidade treinar, instruir e orientar os funcionários para evitar condutas que facilitem o acesso dos criminosos, além de reportar qualquer atitude suspeita, prevenindo a ocorrência dos delitos aqui tratados.

Por sua vez, no âmbito repressivo, os fatos devem ser levados ao conhecimento das Autoridades Públicas, para apuração dos possíveis delitos perpetrados, mediante diligências investigatórias consubstanciadas em exames periciais para identificação dos IPs do dispositivo que originou a infração e eventual quebra de sigilo telefônico e telemático dos usuários que enviaram os e-mails e mensagens suspeitas, a fim de identificar a autoria delitiva.

Em suma, as companhias devem tomar todas as precauções relacionadas ao Compliance cibernético para evitar a ocorrência dos mencionados delitos. Caso não seja suficiente, em caráter repressivo, é fundamental que medidas criminais sejam efetivadas, com o intuito de blindar a empresa contra eventual exposição de responsabilidade civil e administrativa; evitar precedente negativo entre funcionários internos, potencialmente envolvidos na prática fraudulenta; mitigar danos à imagem da companhia.