As consequências jurídicas dos ataques de hackers

Alexandre Atheniense
Advogado especialista em crimes cibernéticos, coordenador do curso de pós-graduação da ESA OAB/SP, editor do blog DNT – O direito e as novas tecnologias

A onda de ataques de hackers a diversos sites do governo brasileiro demanda uma reflexão sobre quais seriam as vulnerabilidades no aspecto de segurança da informação e da nossa legislação.

Mesmo diante da escassa informação técnica divulgada pelos responsáveis dos sites atacados, quanto ao alcance do dano causado, em decorrência das investigações em curso, ao que parece, a natureza dos ataques visava, em regra, os seguintes objetivos: a pichação virtual “website defacement”, caracterizada mudança visual da aparência do site pelo hacker; a invasão da rede interna das entidades, via acesso não autorizado e consequente tentativa de furto de informações sigilosas; o disparo de inúmeros acessos simultâneos originados de vários computadores, denominados zumbis, situados em localidades diversas, para sobrecarregar o sistema até derrubá-lo, atos denominados por ataques de negação de serviços.

Não se trata dos primeiros ataques disparados contra esses sites. Os mais recentes evidenciaram mais uma vez que o governo, ao contrário do que ocorre no setor bancário, ainda prescinde de investimentos de segurança da informação, para mitigar os danos ocorridos.

A identificação de autoria deve ser a etapa mais difícil para alcançar êxito. Será uma tarefa difícil, mas não impossível, pois os ataques realizados foram coordenados com o uso de diversos computadores. A investigação também poderá ocorrer nas mensagens publicadas pelos hackers no Twitter.

Certamente a investigação ora comandada pela Polícia Federal deverá contar com a colaboração de outros países. Se identificarmos um hacker domiciliado no exterior, teremos poucas chances de punição pela lei brasileira, pois inexistem tratados de extradição para esses ilícitos. Entretanto, se o mesmo for domiciliado no Brasil, as chances de punição serão maiores.

Existem várias condutas relativas a esses ataques que ainda não se tornaram crime na legislação brasileira, apesar de previstas no Projeto de lei (PL) nº 84/99, tramitando há 12 anos no Congresso Nacional, ainda sem estimativa de prazo para sanção, devido a impasses políticos.

As novas condutas ilícitas que poderiam punir os hackers seriam: acesso não autorizado a sistema informatizado; obtenção, transferência ou fornecimento não autorizado de dado ou informação; divulgação ou utilização indevida de informações e dados pessoais; inserção ou difusão de código malicioso; interrupção ou perturbação de serviço informático; falsificação de dados eletrônicos públicos ou particulares; estelionato eletrônico; dano a dado eletrônico alheio e atentado contra serviços de utilidade pública.

Se a invasão acarretar danos à infraestrutura do site ou da rede interna dos sistemas, poderá incidir o crime de dano previsto no artigo 163 do Código Penal. Se constatado ataque à reputação das instituições envolvidas no ataque, poderá incidir reparação de danos materiais e morais.

Se da invasão ocorrer acesso dos hackers a dados sigilosos, e estes obtiverem alguma vantagem ilícita a partir dessas informações, poderão estar sujeitos a diversas penalidades, tais como: divulgação de segredo, preceituado no artigo 153 do Código Penal; extorsão, artigo 158; e estelionato, o conhecido artigo 171.

A lição que se depreende dessa onda de ataques cibernéticos é que os sites governamentais estão mais vulneráveis que os bancos para enfrentar esses incidentes e demandam maior investimento em segurança da informação. A aplicação da lei brasileira só será possível se os hackers identificados tiverem domicílios no Brasil e a legislação brasileira pode punir algumas condutas em decorrência dos ataques e não o ato de atacar per si.
Porém, nada justifica a inércia do Congresso em não aprovar de imediato um projeto de lei que tramita há mais de uma década com o objetivo de mitigar os danos causados e punir os infratores. Até quando os estratosféricos prejuízos de R$ 900 milhões, originados das fraudes eletrônicas divulgadas pela Febraban, a insegurança jurídica a que o cidadão brasileiro se expõe e as humilhações desses atentados não serão suficientes para sancionar imediatamente o PL 84/99?

Compartilhar:

Leia também

Inscreva-se na nossa newsletter