Pular para o conteúdo principal

Os ataques crackers no Brasil e seus efeitos penais decorrentes

Não quero aqui traçar um tratado ou finalizar um assunto sobre a conduta dos "hackers" nos últimos dias em relação aos sites brasileiros. Quero sim, colocar o assunto para que haja o debate, já que alguns, como a Dra. Laine Souza, entendem que não há tipo penal na Lei brasileira que possa ser utilizada para enquadrar as condutas praticadas.

Inicialmente, para que possamos entender melhor o assunto, há que se diferenciar o tipo de conduta cracker utilizada para os ataques aos sites governamentais. Pelas divulgações da mídia, em suma foram duas as formas de ataques: o ataque de negação de serviços e a pixação virtual de sites, ou seja, respectivamente, ataque DDoS e defacement.

Para SOLHA, TEIXEIRA e PICCOLINI (2000), o ataque DDoS se caracteriza, resumidamente:
O ataque DDoS é dado, basicamente, em três fases: uma fase de "intrusão em massa",na qual ferramentas automáticas são usadas para comprometer máquinas e obter acesso privilegiado (acesso de root). Outra, onde o atacante instala software DDoS nas máquinas invadidas com o intuito de montar a rede de ataque. E, por último, a fase onde é lançado algum tipo de flood de pacotes contra uma ou mais vítimas, consolidando efetivamente o ataque.
Já o defacement é um termo de origem inglesa para o ato de modificar ou danificar a superfície ou aparência de algum objeto, usado comumente para categorizar os ataques realizados por defacers e script kiddies para modificar a página de um sítio na Internet (in Wikipedia, neste link).

No primeiro caso - ataque DDos - a tipificação penal hoje possível no Brasil é a prevista no art. 265 do Código Penal:
Art. 265 - Atentar contra a segurança ou o funcionamento de serviço de água, luz, força ou calor, ou qualquer outro de utilidade pública:
Pena - reclusão, de um a cinco anos, e multa.
Nesse caso, há que se demonstrar que o que está na internet é um serviço de utilidade pública e que por conta da ação houve a indisponibilidade desse serviço à população. Isso não ocorrerá, por exemplo, nos sites de órgãos governamentais que apenas disponibilizam notícias ao público. Um exemplo claro de serviço público disponibilizado através de um site público é quanto à solicitação de passaportes junto à Polícia Federal: indisponibilizado o serviço por ataque de negação de serviço caracterizado está o crime de "Atentado contra a segurança de serviço de utilidade pública".

De outra parte, pode surgir a pergunta: nesse caso a vítima é a Administração Pública, mas e se o particular se sentir prejudicado, o que sobra a ele? Poderíamos conjecturar quanto ao crime de dano, previsto no art. 163 do Código Penal, porém o dano tem de ser tangível para a comprovação. A reparação, por parte do usuário prejudicado, pode ser também na área cível, buscando a reparação de dano.

No caso de defacement - desconfiguração de páginas na internet -, podem ocorrer duas possibilidades: 1) o serviço público posto à disposição penal internet é de utilidade pública: se foi indisponibilizado por ação cracker de desconfiguração da página, caracterizado está o delito acima citado (art. 265 do CP); 2) o site governamental não contém um serviço de utilidade pública: neste caso, uma vez tangível o dano, geralmente caracterizado pela criação da página, bancos de dados, manutenção e o custo da reparação, caracterizado está o crime de dano, conforme segue:
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:
Pena - detenção, de um a seis meses, ou multa.
Dano qualificado
Parágrafo único - Se o crime é cometido:
.....
III - contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista;
.....
Pena - detenção, de seis meses a três anos, e multa, além da pena correspondente à violência.
Outro aspecto que poderá ocorrer em razão da ação hacker: invasão de site/rede pública com acesso ao banco de dados, reservado ou confidencial, e divulgação e divulgação dos dados. Caracterizaria o previsto no art. 153, § 1º-A? Veja o teor do artigo:
Divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública: 
Pena – detenção, de um a quatro anos e multa.
A dúvida que surge é se é um crime comum ou próprio esse previsto no parágrafo primeiro, pois que o do caput é crime próprio. O nosso entender é de que é um crime comum e que qualquer pessoa pode cometê-lo. Sendo assim, uma vez de posse dos dados, mesmo que por invasão de um sistema, com consequente divulgação, há caracterização do crime.

Bom, e se o criminoso virtual invadiu o banco de dados, não modificou, não danificou e apenas copiou os dados? E se os colocar à venda? E, caso alguém os utilze para fins de criação de documentos falsos, registros de sites etc? Isso é assunto para o próximo artigo. Até lá!

Veja neste artigo em como se proteger dos ataques de negação de serviço: Tudo que você precisa saber sobre os ataques DDoS, por Liliana Esther Velásquez Alegre Solha, Renata Cicilini Teixeira e Jacomo Dimmit Boca Piccolini, neste link.

Comentários

Prezado Dr. Emerson Wendt,
parabéns pelo artigo.
Considero muito importante fomentar a discussão sobre a aplicação da legislação vigente para os autores de crimes cibernéticos.
Posso afiançar que outros integrantes dos órgãos que promovem a investigação criminal no país possuem posicionamentos semelhantes, ou seja, concordam que nas situações apontadas é possível ocorrer a responsabilização criminal do autor.
Um Fraternal Abraço,

Higor Vinicius Nogueira Jorge
www.higorjorge.com.br

Postagens mais visitadas deste blog

Facebook: endereço de envio de intimações e/ou ordens judiciais

Achei interessante atualizar (fev/2018) esse post de outubro de 2011, visando deixar a informação mais correta e atualizada em relação aos procedimentos no Facebook: Várias pessoas me perguntam(vam) sobre o endereço do Facebook, que anunciou, em 2011, abrir um escritório no Brasil. Todo o procedimento de tratamento está explicado no nosso livro, escrito com o Dr. Higor Jorge: Crimes Cibernéticos - Ameaças e Procedimentos de Investigação. Veja como adquirir o livro: Como adquirir os livros? O resultado da pesquisa do registro do domínio nos remete a um escritório de registro de propriedade intelectual, porém, o escritório para envio de ordens judiciais e/ou intimações, além de requerimentos, é o seguinte: FACEBOOK SERVICOS ONLINE DO BRASIL LTDA Rua Leopoldo Couto de Magalhães Júnior, 700, 5º Andar, Bairro Itaim Bibi, São Paulo-SP, CEP 04542-000 - Fonte:  Jucesp Online Não sabíamos como seria o tratamento das informações e respostas às solicitações das chamadas

Endereço do Twitter no Brasil

Já algum tempo o Twitter possui escritório no Brasil, tal qual o Facebook . Vários colegas policiais me perguntam os dados. Ei-los: Twitter Brasil Rede de Informação Ltda Endereço: Rua Professor Atílio Innocenti, 642, 9º Andar, Vila Nova Conceição, São Paulo São Paulo - CEP 04538-001 Endereço eletrônico: legalnoticesbr@twitter.com Telefone 11-30332900 Diretor-Geral do Twitter no Brasil: Guilherme Ribenboim ( @guilhermerib ) O perfil brasileiro oficial do Twitter no Brasil: @TwitterBrasil . Ajuda e suporte em https://support.twitter.com/forms . O Blog oficial pode ser acessado aqui: https://blog.twitter.com/pt/brasil . Qualquer sugestão: comentem!!

Lista dos Estados que possuem Delegacias de Polícia de combate aos Crimes Cibernéticos

Esta ideia começou com o post sobre os órgãos especializados no enfrentamento aos crimes virtuais , que estava desatualizado. Estou fazendo essa atualização com vistas a uma melhor orientação às pessoas. Muitos já copiaram e replicaram este post, sem atualizar os dados e sem referenciar a fonte, mas o que importa é a difusão da informação. O primeiro aspecto de um registro de ocorrência de um crime virtual é saber o que levar ao conhecimento da Polícia Judiciária. Por isso, sugiro a leitura do post sobre como proceder em casos de crimes virtuais, deste blog. Crimes virtuais: com proceder? Então, vamos à lista dos Estados brasileiros onde você pode encontrar atendimento especializado, não esquecendo que se você não se encontra na cidade ou Estado em que há um órgão policial específico você pode e deve registrar a ocorrência na Delegacia de Polícia mais próxima . O que não pode é deixar o fato sem o conhecimento de uma Autoridade Policial. -  Rio Grande do Sul :