Evento – Crimes Eletrônicos e Formas de Proteção palestra: Crimes Virtuais (Eletrônicos / Cibernéticos)

03/08/2009 – FECOMERCIO

Deputado Federal – Julio Semeghini (PSDB-SP) Membro da Comissão de Ciência e Tecnologia, Comunicação e Informática da Câmara Federal (CCTC&I)

Considerações sobre Projeto de Lei – Crimes Cibernéticos 1- O Avanço de Incidentes Reportados na Internet do Brasil ;2- Crimes Eletrônicos – Panorama da situação nos EUA;3- Convenção de Budapeste;4- Ação Legislativa - O Projeto de Lei nº 84, de 1999;5- Pontos Polêmicos6- Conclusões. Anexo I - “Ressalvas” Brasileiras e artigos da Convenção de Budapeste Anexo II - PL 84 e as alterações feitas pelo substitutivo do SenadoAnexo III – Audiência Pública – 13/11/2008

11 slides

22 slides anexos

1- Evolução de Incidentes na Internet do Brasil CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

Fraude: segundo Houaiss,é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro".

Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em queocorre uma tentativade obter vantagem.

Fraude (75%)

Tipos de ataques

Relatório FBI 2008 – 275.284 queixas => aumento de 33,1% sobre 2007

2- Crimes Eletrônicos – Panorama nos EUA

Fraudes financeiras on-line em 2008 = US$ 265 milhões – $ 931 / usuário cidadãos idosos são os mais vitimados fraudes em cartão de débito/crédito 9%

Isso torna evidente que a criminalidade na Internet é uma ameaça grave não só às economias dos países, como impõe prejuízos financeiros significativos aos cidadãos.

Acão: 29/maio/2009 Obama anuncia a criação de uma bilionária $ Secretaria Especial de combate ao crime cibernético – pensando também na guerra cibernética

McAfee - estima que as empresas (agregadas) correm riscos de perder mais de US$ 1 trilhão por roubo de dados e outros crimes virtuais

3- Ação Européia para enfrentar o problema singular da extra-territorialidade dos crimes cibernéticos

Convenção de Budapeste (veja análise), ou Convenção de Cibercriminalidade do Conselho da Europaaberta a adesão internacional em 2001 => + de 40 países

- harmonização da legislação penal (países unidos em tipificar crime)

- inversão da persecução penal (inquérito no próprio país)

- acordos de cooperação entre autoridades policiais dos diversos países

MINISTÉRIO DE RELAÇÕES EXTERIORES tem grupode trabalho estudando o assunto para adesão

EUA fez adesão com ressalvas – o Brasil pode fazer o mesmo

4- AÇÃO DO LEGISLATIVO FEDERAL (10 anos)

No Senado o agora PLC 89/2003, que tramitou junto com o PLC 137/2000 e o PLC 76/2000, é aprovado em 09 de julho de 2008 com um texto substitutivo .Devido alterações ao originário Projeto de Lei da Câmara Federal este voltou para a Câmara dos Deputados.

Solução: PL nº 84, de 1999, sobre Crimes na Internet, da Câmara dos Deputados, introduz alterações no Decreto-Lei nº 2.848, de 7

de dezembro de 1940 - Código Penal Brasileiro

Substitutivo Dep. Nelson Pelligrino é aprovado em 05/11/2003 unindo o PL 84 de 1999 - Dep. Luiz Piauhylino + PL 2557/2000 + PL 2558/2000 + PL 3796/2000 apensadose foi para o Senado (ver tramite).

Tipificar os crimes na Internet:- Criminalidade praticada com recursos de informática- Criminalidade na informática

5 – Alguns Pontos Polêmicos

Artigo 19 - gera modificações na Lei contra o racismo, pois modifica a Lei dos Crimes resultantes do preconceito contra raça ou cor, alterando o inciso II do §3º do art. 20, introduzindo as transmissões eletrônicas e a publicação por qualquer meio, no rol das publicações que deverão cessar, a critério do juiz (o texto atual só trata de transmissões radiofônicas ou televisivas), no caso de difusão de conteúdo racista.

Artigo 18 – Impõe disposições de natureza organizacional ao estabelecer que os órgãos de polícia judiciária estruturarão, nos termos do regulamento, setores e equipes especializadas no combate à ação de delitos em rede de computadores, dispositivo de comunicação ou sistema informatizado.

Artigo 17 – estabelece para fins penais, como bens protegidos: o dado, o dispositivo de comunicação, a rede de computadores e o sistema informatizado.

Artigo 22 – Gera deveres aos provedores de acesso à Internet:- Manter por 3 anos, os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada. - E fornecer esses dados somente a autoridade investigatória. - Submeter-se a auditorias conforme regulamento.

Ainda sobre o artigo 22 => Não se verificam exigências de identificação das pessoas, como CPF, nome e endereço. Essas informações precisam ser fornecidas para identificar o usuário.

Artigo 21 - gera competências à Polícia Federal: “delitos praticados contra ou mediante rede de computares, dispositivo de comunicação ou sistema informatizado”, colocando no rol das infrações penais de repercussão interestadual ou internacional que exigem repressão uniforme, e para os quais a Polícia Federal, sem prejuízo das responsabilidades dos órgãos de segurança pública estaduais, procederá à investigação.

- Art. 285-A (CP) - acesso não autorizado

- Art. 285-B (CP) - transferência fraudulenta de dados

- Art. 163-A (CP) – Inserção e difusão de código malicioso

- Art. 171 VII (CP) – Estelionato Eletrônico

- Art. 266 (CP) – Interrupção ou perturbação de serviço telegráfico, telefônico, informático;

- Art. 297 (CP) - Falsificação de dado eletrônico ou documento público;

- Art. 298 (CP) – Falsificação de dado eletrônico e documento particular;

- Art. 16 IV – definição de código malicioso;

- Art. 17 – definição de “bem protegido” para o dado, o dispositivo de comunicação, rede de computadores e sistema informatizado;

- Art. 241 (ECA) – pedofilia;

- Art. 22 – atribuição de responsabilidades aos provedores de acesso: preservar dados de usuários; informar os dados de conexão às autoridades policiais e judiciais; preservação expedita de dados de conteúdo.

Diante de questionamentos o Executivo propôs que fosse excluído os artigos que seriam rejeitados

Em novo Projeto de Lei a ser apresentado seriam introduzidos os seguintes dispositivos:

Art. 285-A (CP) – Acesso indevido a sistemas informatizados;

Art. 163-A (CP) – Inserção ou difusão de código malicioso;

Art. 4º - Definições: código malicioso; provedor de acesso; provedor de conteúdo;

Art. 5º - Obrigações dos Provedores de Acesso: - manter em ambiente controlado por 3 (três) anos os dados de tráfego dos usuários; - manter cadastro de nomes, gênero, filiação, CPF ou CNPJ dos usuários; - preservar imediatamente, por 30 dias prorrogáveis por até 90 dias, os dados de conteúdo das comunicações eletrônicas dos usuários, devendo tais dados ser fornecidos à autoridades por intermédio de requisição judicial;

Art. 6º - Exime-se da obrigação prevista no art. 5º as entidades que fornecem acesso à Internet no âmbito de programas de inclusão digital.

6 - Conclusão

- é fundamental iniciar o processo de atualização da legislação atual para poder enfrentar a dimensão dos crimes cibernéticos;

- isso demanda por um aceite (acordo) das entidades representativas de nossa sociedade junto ao legislativo e executivo;

Agradeço pela atenção

http://www.juliosemeghini.com.bre-mail julio@juliosemeghini.com.brescritório em São Paulo tel. (11) 3078-1790Câmara do Deputados Anexo IV gab 242tel: (61) 3215.5242 fax: (61) 3215.2242

Anexo I“Ressalvas” Brasileiras e artigos da Convenção de Budapeste

“Ressalvas” Brasileiras e artigos da Convenção de Budapeste

“Ressalvas” Brasileiras e artigos da Convenção de Budapeste

“Ressalvas” Brasileiras e artigos da Convenção de Budapeste

Anexo II - O Projeto de Lei nº 84, de 1999, da Câmara dos Deputados

O texto substitutivo aprovado no Senado Federal introduz as seguintes alterações no Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal Brasileiro:

II.1 - Tipificações Penais

Acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado: acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso. Pena: reclusão, de 1(um) a 3 (três) anos, e multa.

Obtenção, transferência ou fornecimento não autorizado de dado ou informação: obter ou transferir, sem autorização ou em desconformidade com a autorização do legítimo titular da rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso, dado ou informação neles disponível. Pena: reclusão, de 1 (um) e 3 (três) anos, e multa

Divulgação ou utilização indevida de informações ou dados pessoais: divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que re referem, ou de seu representante legal. Pena: detenção, de 1 (um) a 2 (dois) anos, e multa.

Dano [eletrônico]: destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio. (o tipo penal já existia e foi introduzido o dado eletrônico).

Inserção ou difusão de código malicioso: inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado. Pena: reclusão, de 1 (um) a 3 (três) anos, e multa.

Inserção ou difusão de código malicioso seguido de dano: se do crime resulta destruição, inutilização, deterioração, alteração, dificultação de funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado – pena de reclusão de 2 (dois) a 4 (quatro) anos, de multa.

Estelionato eletrônico: difunde, por qualquer meio, código malicioso com intuito de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado. Atentado contra a segurança de serviço de utilidade pública: atentar contra a segurança ou o funcionamento de serviço de água, luz, força, calor, informação ou telecomunicações, ou qualquer outro de utilidade pública.

Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático, dispositivo de comunicação, rede de computadores ou sistema informatizado: interromper ou perturbar serviço telegráfico, telefônico, telemático, informático, de dispositivo de comunicação, rede de computadores, de sistema informatizado ou de telecomunicação, assim como impedir ou dificultar-lhe o restabelecimento.Falsificação de dado eletrônico ou documento público: falsificar, no todo ou em parte, dado eletrônico ou documento público verdadeiro, ou alterar documento público verdadeiro

Falsificação de dado eletrônico ou documento particular: falsificar, no todo ou em parte, dado eletrônico ou documento particular ou alterar documento particular verdadeiro

II.2 - Tipificações no Código Penal Militar

Os artigos 10, 11, 12, 13, 14 e 15 introduzem basicamente as mesmas tipificações anteriormente relacionadas no Decreto-Lei nº 1.001, de 21 de outubro de 1969 – Código Penal Militar.

II.3 – Definições (glossário adotado)

Dispositivo de comunicação: qualquer meio capaz de processar, armazenar, capturar ou transmitir dados utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia;

Sistema informatizado: qualquer meio capaz de processar, armazenar, capturar ou transmitir dados utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia;

Rede de computadores: qualquer meio capaz de processar, armazenar, capturar ou transmitir dados utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia;

Código malicioso: o conjunto de instruções e tabelas de informações ou qualquer outro sistema desenvolvido para executar ações danosas ou obter dados ou informações de forma indevida;

Dados informáticos: qualquer representação de fatos, de informações ou de conceitos sob a forma suscetível de processamento numa rede de computadores ou dispositivo de comunicação ou sistema informatizado;

Dados de tráfego: todos os dados informáticos relacionados com sua comunicação efetuada por meio de uma rede de computadores, sistema informatizado ou dispositivo de comunicação, gerados por eles como elemento de uma cadeia de comunicação, indicando origem da comunicação, o destino, o trajeto, a hora, a data, o tamanho, a duração ou o tipo do serviço subjacente.

Nota importante: o substitutivo passa a considerar por meio dos dispositivos propostos no artigo 17, para fins penais, como bens protegidos o dado, o dispositivo de comunicação, a rede de computadores, o sistema informatizado.

Ou seja, o substitutivo aprovado no Senado Federal suprimiu a equiparação do dado e do dispositivo informático à “coisa”, para efeitos de crimes contra o patrimônio (artigos 183-A e 155, § 4º, V), sob a argumentação de que tal equiparação poderia acarretar desdobramentos sistêmicos imprevisíveis na lei penal, “perdendo-se os parâmetros de tangibilidade e de intangibilidade de bens que o sistema penal resguarda”.

Assim, optou-se por prever, em artigo autônomo da nova lei, que são considerados bens protegidos o dado, o dispositivo de comunicação, a rede de computadores e o sistema informatizado, limitando e especificando o alcance dos efeitos de tal previsão.

II.4 - Disposições de natureza organizacional

O artigo 18 estabelece que os órgãos de polícia judiciária estruturarão, nos termos do regulamento, setores e equipes especializadas no combate à ação delituosa em rede de computadores, dispositivo de comunicação ou sistema informatizado.

II.5 - Modificações na Lei do RacismoO artigo 19 modifica a Lei dos Crimes resultantes do preconceito contra raça ou cor, alterando o inciso II do §3º do art. 20, introduzindo as transmissões eletrônicas e a publicação por qualquer meio, no rol das publicações que deverão cessar, a critério do juiz (o texto atual só trata de transmissões radiofônicas ou televisivas), no caso de difusão de conteúdo racista.

II.6 - Pedofilia – Estatuto da Criança e do Adolescente O artigo 20 promove alterações no Estatuto da Criança e do Adolescente, de forma a alterar o art. 241, que passa a vigorar com a seguinte redação: (grifo nas alterações)“Art. 241. Apresentar, produzir, vender, receptar, fornecer, divulgar, publicar ou armazenar consigo, por qualquer meio de comunicação, inclusive rede mundial de computadores ou Internet, fotografias, imagens com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente.”

II.7 - Atribuição de competência à Polícia Federal

O artigo 21 do texto introduz os “delitos praticados contra ou mediante rede de computares, dispositivo de comunicação ou sistema informatizado”, no rol das infrações penais de repercussão interestadual ou internacional que exigem repressão uniforme, e para os quais o Departamento de Polícia Federal do Ministério da Justiça, sem prejuízo das responsabilidades dos órgãos de segurança pública estaduais, procederá à investigação.

II.8 - Obrigações impostas aos provedores de serviços O artigo 22 do PL introduz novas obrigações para provedores de acesso à Internet. São elas:

II.8.1 Manter em ambiente controlado e de segurança, por 3 anos, com o objetivo de provimento de investigação pública formalizada, os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada por meio da Internet e fornecê-los exclusivamente à autoridade investigatória mediante prévia requisição judicial; (OBS: o §1º determina que estes dados, as condições de segurança de sua guarda, a auditoria à qual serão submetidos e a autoridade competente responsável pela auditoria, serão definidos nos termos do Regulamento)

II.8.2. Preservar imediatamente, após requisição judicial, outras informações requisitadas em curso de investigação, respondendo civil e penalmente pela absoluta confidencialidade e inviolabilidade;

II.8.3. Informar, de maneira sigilosa, à autoridade competente, denúncia da qual tenha tomado conhecimento e que contenha indícios da prática de crime sujeito a acionamento penal público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de computadores sob sua responsabilidade.

OBS: Conservação expressa de dados somente com autorização judicialNota: tanto na Convenção de Budapeste, quanto na legislação processual dos EUA, não se exige prévia autorização judicial para que os órgãos policiais possam determinar aos provedores a conservação de dados de usuários sob investigação.A sugestão é a de que seja retirada a necessidade de prévia autorização judicial para que os órgãos policiais possam solicitar a preservação de dados de usuários investigados

ANEXO III - Audiência Pública – 13/11/2008

No dia 13/11/2008 a Comissão de Ciência e Tecnologia, Comunicação e Informática e a Comissão de Segurança Pública e Combate ao Crime Organizado da Câmara dos Deputados realizaram Audiência Pública para debater o Projeto de Lei nº 84/1999.

Estiveram presentes autoridades do Ministério da Justiça, Polícia Federal, Poder Judiciário, além de representantes dos provedores de acesso e acadêmicos da área.

III.1 - resumo dos posicionamentos das autoridades.

III.1.1 - Sr. Pedro Vieira Abramovay (Secretário de Assuntos Legislativos do Ministério da Justiça)

- Segundo o MJ a nova Lei de crimes cibernéticos proposta é necessária, pois deverá proporcionar maior segurança à Internet, sem restringir a liberdade;

- O PL após aprovado no Senado, passou a ser debatido na Internet;

- Acredita que alguns dispositivos precisam de reconstrução. Exemplo: Acesso não autorizado/Proteção a dados. Segundo Abramovay, a forma como está redigido os dispositivos do PL 84/1999 pode criar prejuízos para as redes públicas. Sendo assim, propõe construir uma redação que proteja o acesso e a intimidade, mas que mantenha a liberdade;

- Na questão de obrigação dos provedores, o PL 84/1999 limitou a liberdade da Polícia, ao contrário de aumentá-la, ao exigir uma autorização judicial para obrigar a guarda dos dados;

- O entendimento da Secretaria de Assuntos Legislativos do Ministério da Justiça é de que é possível chegar a uma legislação que incorpore as reflexões que foram feitas após a aprovação no Senado;

- Aspectos regimentais: a proposta poderia se libertar das amarras regimentais e com o consenso, formular vários pontos que podem ser aproveitados, aprovando parcialmente o PL 84/1999 e, como resultado das discussões, apresentar novo projeto, que seria votado ao mesmo tempo e com sanção simultânea do Presidente da República.

III.1.2 - Sr. Fernando Botelho Neto (Tribunal de Justiça / MJ)

- Calibragem da legislação : segurança x liberdade- Mais do que a liberdade, existe a possibilidade de ferir algumas liberdades fundamentais, como privacidade e intimidade.- Existe o risco de radicalizarmos a liberdade de expressão que pode gerar problemas para outras liberdades.- Senador Azeredo me convidou para trabalhar no grupo que criou o PL no Senado.- Estatística mundial de 2005 mostra – 105 bilhões de dólares em: fraudes, espionagem corporativa, pedofilia, extorsão virtual, pirataria e outros ilícitos eletrônicos. - Estatística no Brasil: entre 2004 e 2005 as fraudes bancarias eletrônicas pularam de 5% para 40% do total.- Armadilhas eletrônicas cresceram 53% em 2008.- Em 2006: 144 milhões de dólares gastos com proteção eletrônica.- PL precisa prever a liberdade, mas precisa conter o uso ilícito.- Norma mista : Penal material e Processual penal

III.1.3 - Carlos Eduardo Sobral (Delegado da Polícia Federal) - Repressão a Crimes Cibernéticos:

- Primeiro desafio: ncontrar um meio termo que mantenha o espírito de liberdade, mas que assegure a segurança de todos os cidadãos, sem que haja um clima de guerra no qual a liberdade é ameaçada;- Segundo desafio: diminuir o tempo que se leva entre o desenvolvimento da nova tecnologia e o tempo que as autoridades públicas esteja capacitadas para coibir o uso dessa nova tecnologia pelas organizações criminosas;- Desde 2005 é que os crimes digitais fazem mais dinheiro que o tráfico de entorpecentes: há necessidade de uma legislação que seja adequada a essa nova realidade. Hoje a PF usa uma legislação que trata da questão mas o enfoque não é adequado.- Operação Cassosel: 220 mandatos de busca e apreensão; apreendidos 300 HD’s; 5 prisões em flagrante no Brasil contra 121 presos na Espanha;- Em todas as pesquisas para rastreamento de pedófilos o Brasil fica em 4º lugar mundial. PF na semana passada: 275 maiores pedófilos no Brasil.

- Dificuldades operacionais da PF: ausência de padronização das informações fornecidas pelos fornecedores de acesso fez com que recentemente, de 352 IP’s sobre os quais a PF solicitou informações aos provedores, apenas 137 voltaram com alguma informação que permitiu iniciar alguma informação. Os demais diziam que os provedores não possuíam a informação, pois não há legislação que os obriguem a manter tais informações; - Não são as informações de conteúdo, mas informações de rastreabilidade, que são informações básicas para localização física do usuário;- Outro problema: é a demora na resposta no Poder Judiciário, que chega a ser de 60 a 90 dias, o que atrasa a investigação; - Diretrizes atuais do DPF: criar 27 delegacias especializadas em crimes cibernéticos; PF tem 140 peritos de informática, de alta qualidade; formalização de parcerias e convênios com centros acadêmicos e com a industria; projeto de criação de um sistema nacional de tratamento e resposta a incidentes e repressão a ilícitos criminais; - Necessidade de cooperação internacional , seria interessante ao Brasil aderir a Convenção de Budapeste;

III.1.4 - Sérgio Amadeo da Silveira (Fundação Casper Líbero)- Diz que a aprovação do PL 84/199 irá trazer insegurança jurídica;- Custo de auditoria aumenta o custo Brasil de comunicação;- A aprovação do PL poderá colocar problemas no desenvolvimento das redes abertas e redes Ad-Hoc;- Entende que os artigos 285-A 285-B (sobre acesso ilícito) e artigo 22 precisam de ajustes.

III.1.5 - Luiz Fernando Moncau (FGV-RJ)- Qual o modelo de regulação? Modelo civil ou modelo penal? FGV entende que primeiro precisa se desenvolver um modelo civil, com direitos e liberdades dos usuários e provedores, e, posteriormente, passar ao Direito Penal - sempre a última instância;- A Convenção de Budapeste foi influenciada por 11 de setembro de 2001;

III.1.6 - Eduardo Parajo (ABRANET)- Hoje: 1700 provedores – mercado de 150 mil empregos;- Internet 2º trimestre de 2008 – atingiu mais de 42 milhões de usuários brasileiros; - Brasileiro fica em média mais de 23 horas on-line – isso é o maior tempo do mundo;- Comércio eletrônico: deve movimentar R$ 1,35 bilhão de reais no Natal de 2008;- Até setembro/08: 10.000 escolas estavam conectadas;- Quase 70% das Pequenas e Médias Empresas não adotam medidas de segurança na Internet;- Investimentos são necessários para Pequenas e Médias Empresas para que ampliem seu nível de segurança digital;- Entende que o PL 84/1999 é honroso e necessários. Entretanto vê problemas nos art. 16 III; Art. 22 / I. Dos artigos acima, não só os provedores de acesso, mas todos terão a responsabilidade de guardar os LOGs, assim como governos, telecentros, wi-fi e etc; - Será que as empresas terão condição de fazer tais guardas? Os provedores de acesso já concordaram em manter os LOGs; - O Wi-fi de Copacabana terá que ter LOG de acesso;

III.1.7 - Renato Ópice Blum (Advogado)

- Assunto de extrema relevância, gravidade; - Sociedade depende cada vez mais da TI, logo precisa de cada vez mais segurança; - É necessário terminar com o período de 12 anos que o tema é debatido no parlamento brasileiro; - Hoje, a legislação brasileira é feita por meio dos tribunais por meio de jurisprudência e não pelo Congresso Nacional;- Constituição federal garante a privacidade e veda o anonimato;- Quase 80% dos brasileiros temem que informações pessoais sejam usadas ilegalmente

/ / /