Cyberextorsão: até onde você está seguro? Aspectos jurídicos do ransomware.
Atos cibernéticos podem gerar relações jurídicas, algumas vezes decorrentes de ilícitos penais e outros ilícitos de natureza civil.
quinta-feira, 7 de maio de 2015
Atualizado em 6 de maio de 2015 12:25
Atualmente, os computadores são instrumentos indispensáveis tanto aos ambientes domésticos quanto aos ambientes corporativos. Essa instrumentalização criou uma dependência da forma com a qual a informação é gerenciada.
Como a guarda de informações está dispersa em binários, seja em "meios físicos" (CDs, HDs) ou "meios físico-virtuais" (armazenamento na nuvem "cloud"), a busca por essas informações também se modificou.
Ao mesmo tempo em que as formas de proteção dos dados aumentam, os desviantes elevam os ataques aos computadores a um nível mais criativo. Esses atos cibernéticos podem gerar relações jurídicas, algumas vezes decorrentes de ilícitos penais e outros ilícitos de natureza civil.
O objetivo deste artigo é tecer considerações jurídicas sobre o ransomware, uma forma de malware que infecta a máquina e "tranca" os dados. Em muitos casos, também criptografa os arquivos para que não seja possível acessá-los.
Em apertada síntese, um malware é um software malicioso. Entende-se por ransomware, um software que requer um ransom, termo que significa resgate em inglês.
Tomemos como exemplo o malware CryptoLocker, que é uma espécie de ransomware o qual utiliza uma complexa criptografia para "trancar" os discos locais e o compartilhamento de arquivos da rede. Esse tipo de malware exige uma vantagem ilícita aos olhos do Direito.
O "criador" (entre aspas para indicar que pode ou não ser a pessoa) do malware exige o pagamento indevido, de um determinado valor, para que os dados sejam descriptografados. Todavia, o pagamento desse resgate (ransom) não garante ao usuário a recuperação dos dados, tampouco que as informações não serão guardadas, ou pior, compartilhadas ou vendidas.
Esse cybercrime difere daqueles que resultam em dinheiro, como a clonagem de cartões, fraudes em sistemas bancários online, fraudes de terminais de atendimento bancário - os quais, em tese, necessitam de alguém para buscar o dinheiro vivo ou de fraudar diversas contas bancárias para a retirada do dinheiro.
O ransomware permite o pagamento direto por Bitcoin, que é uma "moeda" digital, utilizada para fazer transações no meio cibernético1.
O cybercrimes realizados por meio do ransomware tem grande relevância econômica. Estima-se que apenas entre setembro e dezembro de 2013, o ramsomware gerou uma receita de 30 milhões de dólares somente em resgate, tendo infectado por volta de 234 mil pessoas2.
Tal conduta, à luz do Direito Brasileiro, trata-se de um cybercrimes, ao menos inicialmente próprio, aqui entendido por aqueles que são tipificados como cybercrimes. O CP assim estabelece:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
Quando um dispositivo é invadido por um ransomware, mediante violação da segurança do sistema operacional, com a finalidade de obter a vantagem ilícita, consuma-se o crime de invasão de sistema informático.
O núcleo do tipo penal é invadir e a conduta deve ser dolosa. Mas o que acontece no caso de atuação do ransomware, caso em que exige-se uma vantagem indevida diante de uma grave ameaça?
Trata-se da consumação, também, do crime de extorsão, que pode ser cybercrime impróprio.
A Doutrina Penal Brasileira adota a regra da consunção, pela qual um crime que é um meio necessário para a execução de outro crime é absorvido pelo crime mais gravoso, exprimindo uma finalidade de reprimir a dupla incriminação.
Esse cybercrime, outrossim, apresenta uma dificuldade extrema da persecução penal. Isso porque a identidade do criminoso é praticamente impossível de delimitar.
Muitas vezes o "beneficiado" pelo ransomware não é o criador do programa, tampouco quem culposamente difundiu, ou mesmo quem difundiu sem praticar qualquer conduta.
Como alguém pode difundir culposamente um malware? De forma simplória, poderíamos exemplificar com aqueles que estudam o software sem o devido cuidado, ou mesmo envia de forma acidental o arquivo a outro usuário, e acaba contaminando outras máquinas.
Como alguém pode difundir esse malware sem praticar uma conduta criminosa? De forma exemplificativa: Um usuário repassa um arquivo infectado no corpo de um e-mail; compartilha arquivos já infectados; conecta-se à uma rede vulnerável, entre outros.
Traremos outro ponto. Se uma vantagem indevida é recebida, por que apenas não é realizado um rastreamento? Como supracitado, a vantagem indevida é recebida por meio de Bitcoin, que representa um desafio em si, o que não é objeto deste artigo. Por hora, basta assumir que é uma moeda Peer-to-Peer criptografada:
O Bitcoin "permite propriedade e transferências pseudo-anônimas de valores. Bitcoins podem ser salvas em computadores na forma de um arquivo carteira, ou em serviços de carteira provido por terceiros; e em ambos os casos bitcoins podem ser enviadas pela Internet para qualquer lugar ou para qualquer pessoa que tenha um endereço de Bitcoin"3.
Além disso, até mesmo a Receita Federal tem estudado uma forma de tributar os Bitcoins, tamanha a relevância da moeda4.
Para o aprofundamento acerca dos Bitcoins acesse: https://bitcoin.org/en/developer-documentation.
Digamos, somente por amor ao debate, que seja economicamente viável rastrear quem estaria a exigir a vantagem indevida. Em face da característica global das comunicações via rede, é provável que este desviante esteja em outro país.
Esse fato é um dos desafios da persecução penal dos cybercriminosos. Sua dispersão no mundo.
Isso cria uma dependência da cooperação internacional, mesmo que o Brasil detenha competência para o julgamento (pois o crime produziu efeitos no território nacional), na forma da Lei.
De mais a mais, a persecução penal em nada ajudaria para a recuperação dos dados, pois, muitas vezes, há um prazo para o depósito dos bitcoins.
E a prevenção penal específica, então, ficaria a critério econômico, uma verdadeira racionalização de custos (humano, tempo, capital, entre outros) e possibilidades, em suma, uma balança acerca da capacidade do exercício de uma jurisdição efetiva em face do ransomware.
Como solução, ao menos é o que pensa o autor deste artigo, a melhor alternativa para sanar estas ocorrências, seria investir em uma política preventiva e aprofundar as análises, sob ponto de vista jurídico, dessas e outras questões relacionadas ao cybercrimes.
____________________
1 Clique aqui.
2 Clique aqui.
3 Clique aqui.
4 Clique aqui.
____________________
*Arthur Dantas Oliveira é advogado do Instituto Brasileiro de Direito Digital - IBDDIG.