agosto 24, 2011

[Segurança] Discutindo o Projeto de Lei sobre Crimes Cibernéticos

O crime cibernético no Brasil já representa prejuízos de R$ 685 milhões para os bancos brasileiros apenas no primeiro semestre do ano, segundo a Federação Brasileira dos Bancos (Febraban). Este número representa um aumento de 36% em relação ao mesmo período do ano passado, quando as fraudes atingiram R$ 504 milhões.

Mesmo investindo em segurança, os bancos tem dificuldade para combater o vanço do crime cibernético no Brasil devido a falta de uma legislação específica e que ofereça punições efetivas. E quem paga a conta desta fraude somos todos nós, clientes dos bancos, através das tarifas bancárias.

Enquanto o crime cibernético cresce, o projeto de lei existente sobre crimes cibernéticos (o Projeto de Lei 84/1999) foi aprovado pela Câmara em 2003 e posteriormente pelo Senado, mas fica patinando no Congresso Nacional até hoje. O PL 84/99, lançado pelo então senador Eduardo Azeredo tipifica os crimes cometidos por meio da Internet, e incluiria no nosso código penal a tipificação específica aos novos crimes cibernéticos ou crimes de natureza eletrônica, cometido contra os computadores.

Nesta quarta-feira, dia 24/08, a Comissão de Ciência e Tecnologia, Comunicação e Informática da Câmara dos Deputados vai realizar um seminário para discutir o projeto de lei, debatendo temas como os tipos penais, formas de investigação, direitos fundamentais e cidadania. No mesmo dia, os opositores ao projeto de lei organizaram um protesto em frente ao Congresso, ao que eles chamam de "AI5 Digital", com objetivo de protestar e formalizar a entrega de petições que totalizam mais de 350 mil assinaturas contra o projeto. Segundo os opositores, este projeto de lei irá criminalizar práticas cotidianas e trazer graves retrocessos ao país. O grupo também está promovendo um Tuitaço contra o projeto de lei e convocando pelo Ato, usando as tags #AtoAI5digital e #ai5digital.

Infelizmente o debate sobre o projeto de lei é político, e não técnico. Ou seja, não estamos discutindo ou questionando os pontos positivos e negativos do projeto, e sim foram criados vários argumentos distorcidos, mas com apelo marketeiro, que tem sido repetido a exaustão por uma multidão alienada e que sequer se deu ao trabalho de ler o projeto. Eu comparo esta situação com o que acontecia nos anos 90, quando religiosos queimavam discos de heavy metal sob a alegação de que as músicas faziam apologia ao demônio.

Se há um ponto positivo nas críticas, é que de fato alguns artigos do projeto de lei estão mal redigidos e, eventualmente, podem levar a uma interpretação totalmente errônea (ou exageradamente enviesada). Mas, segundo já ouvi de alguns colegas especialistas na área, seria melhor aprovar o projeto de lei o mais rápido possível e corrigir ele depois, do que continuar sem nenhuma lei e continuarmos sofrendo com os crimes cibernéticos.

Infelizmente a campanha dos opositores é baseada principalmente na desinformação. Como a discussão é ideológica, e não técnica, não há nenhum interesse dos opositores em corrigir os problemas na redação do PL 84/99, somente em barrar o projeto, o que beneficia principalmente os ciber criminosos.

Há vários pontos polêmicos e críticas que considero absurdas, como algumas que sumarizo abaixo.

Guarda de Logs.
Os log de acesso, que identificam que usuário utilizou um determinado endereço IP para acessar a Internet, são fundamentais para uma investigação de um crime eletrônico. São o ponto de partida. O PL determina que essa informação deve ser guardada por 3 anos em ambiente controlado e de segurança, auditável por autoridade pública competente, e somente deve ser fornecido à autoridade investigatória, mediante prévia ordem judicial, devido a uma investigação pública previamente formalizada. Esse prazo está em consonância com o que previsto nas “Recomendações para o Desenvolvimento e Operação da Internet no Brasil” do Comitê Gestor da Internet no Brasil, uma norma editada em 1999.

A guarda de logs vai inviabilizar o negócio dos provedores de Internet, que não terão condições de assumir o custo adicional.
Discordo totalmente, Já trabalhei em provedor de Internet, e os logs de acesso podem ser armazenados de forma a não causar grande impacto financeiro. Primeiro, porque os logs são arquivos de texto com muitas informações repetidas (basicamente, hora, endereço IP e nome do usuário), e portanto, são facilmente compactáveis por qualquer ferramenta de compactação de arquivos, podendo atingir taxas superiores a 90% de compressão. Ou seja, 1 GB de dados pode ser transformado em apenas 100MB de dados antes de ser guardado, ou até menos. E, ainda mais, o custo das mídias de armazenamento é muito barato hoje em dia. Os dados de logs podem ser armazenados em discos de DVD, Blue Ray ou mesmo em HDs externos ou mídias específicas para backup. As opções são muitas e, com o devido cuidado e devido planejamento, podem representar soluções simples e baratas.

A guarda de logs criminaliza o cidadão que está usando a Internet para o bem.
Discordo totalmente. A guarda de logs é uma medida preventiva, que só é usada pela justiça na eventual investigação de um crime. Não vejo porque o log de acesso criminaliza a população. Na minha opinião, isto é equivalente a exigir que as pessoas tenham um RG, que as linhas telefônicas sejam associadas a um assinante, e que os carros tenham placa, com um registro no Detran associado a uma pessoa, portadora de carteira de habilitação. Ninguém é criminalizado por ter um RG, por ter uma carteira de habilitação, por ter uma placa no carro. e ninguém é chamado de bandido só porque tem um telefone registrado em seu nome. Porque o acesso a Internet é diferente?

A exigência de guarda de logs irá "trazer graves retrocessos ao país, retirando o Brasil da vanguarda como nação conectada".
Vou responder isso continuando as duas argumentações acima: A indústria automobilística deixou de vender carro só porque eles tem que ser emplacados? As Teles deixaram de vender telefone só porque vcê tem que se cadastrar para comprar uma linha? As pessoas vão deixar de acessar a Internet só porque precisam se cadastrar no seu provedor de acesso? Só para exemplificar, os bancos guardam os registros de nossas transações financeiras por 5 anos ou mais, e as empresas de telecom guardam os registros de todas as nossas chamadas por 5 anos. E eu não conheço nenhum caso de um banco ou empresa de telefonia que faliu por causa dos custos da guarda dessas informações.

O projeto instaura o "vigilantismo na Internet"
Outro argumento popularesco e falso, que diz que os usuários serão permanentemente vigiado pelos provedores ou por quem quer que seja. A proposta determina apenas que os provedores guardem os dados de conexão a Internet (hora de login e logoff e o endereço IP utilizado, sem nenhum detalhe do tipo de acesso feito pelos usuários) e que os dados somente podem ser repassados mediante solicitação da Justiça, em caso de investigação de um crime. Os usuários de bem não são afetados por essa medida. Além do mais, os provedores sempre tiveram acesso a estas informações, mas hoje não ha nenhuma regulamentação sobre o que eles fazem com elas: o projeto de lei vai determinar formalmente que tipo de informação os provedores devem guardar, por quanto tempo e em que condições eles poderão repassar isso e para quem. Exemplificando: se você não ultrapassar um farol vermelho, nem o "pardal" nem a placa do seu carro estarão te incriminando por nada, nem estão te vigiando.

O projeto de lei é um atentado a liberdade de expressão na Internet
O PL não prevê qualquer cerceamento de opinião, atentado a liberdade de expressão, nem mesmo censura. O projeto estabelece que somente são mantidos registros de dados de conexão a Internet, e não os dados da navegação do usuário (as informações sobre os sites acessados, por exemplo, não precisam ser armazenados). O projeto estabelece que estes dados devem ser armazenados em ambiente seguro (hoje em dia, cada provedor armazena como quiser) e somente devem sr fornecidos mediante solicitação judicial, em caso de denúncia de um crime (hoje em dia, cada provedor oferece para quem quiser, de acordo com critérios próprios). É o mesmo caso de uma ligação telefônica: se houver pedido judicial para quebra de sigilo, as informações da chamada dirão respeito apenas ao horário em que um determinado número ligou para outro.

O Projeto de Lei criminaliza o download de músicas e vídeos na Internet
Na verdade, isso é assunto para a lei do direito autoral. Não tem nada a ver com o PL 84/99. Este argumento é utilizado para manipular as massas, ávidas por compartilhar músicas e vídeos livremente na Internet, desrespeitando o direito do autor (que, como disse, é definido pela lei do direito autoral). Os opositores argumentam que o projeto de lei criminaliza o compartilhamento de arquivos quando o artigo 285-B diz que é crime "Obter ou transferir, sem autorização ou em desconformidade com autorização do legítimo titular do sistema informatizado, protegido por expressa restrição de acesso, dado ou informação neles disponível". Isto na verdade é uma interpretação distorcida do artigo, que trata do crime de interceptação e roubo de dados.

A pena por acesso indevido a um computador é excessiva, superior a invasão de uma casa.
O artigo 285-A propõe pena de reclusão de 1 (um) a 3 (três) anos para quem "Acessar, mediante violação de segurança, sistema informatizado protegido por expressa restrição de acesso”, enquanto a pena por qum invadir uma casa é de apenas 6 meses (podendo chegar no máximo a 2 anos, se houver agravantes). Concordo que a pena para invasão de um site é bem maior, mas eu acredito que hoje em dia os prejuízos para quem sofre uma invasão em seus sistemas pode ser muito maior do que o prejuízo de uma invasão física. Além da exposição desnecessária (se alguém invadir sua casa, só você fica sabendo. Se invadirem seu site, você é exposto para toda a Internet), hoje em dia mantemos a maioria dos nossos bens acessíveis através da Internet, assim uma invasão online pode dar acesso as nossas economias e dados financeiros, causando enormes prejuízos. Facilmene encontramos pessoas cujas economias (acessíveis via Internet Banking) representam valores maiores do que os bens que podemos achar em suas casas. Ou seja, uma invasão online pode causar um prejuízo financeiro e de imagem muito maior do que uma invasão ao nosso domicílio.

3 comentários:

Alberto J. Azevedo disse...

Anchises, entendo seu argumento de que precisamos sim aprovar uma legislação para crimes eletronicos, e também concordo que muitos "fanáticos" distorcem e exageram algumas coisas para fazer propaganda contra o projeto.

Já tive muitas discussões com muita gente sobre esse projeto, porque concordo com você, ele tem muitos pontos bons e necessários, para que possamos colocar ordem e tipificar os crimes de internet. Toda questão que você citou dos logs, eu concordo plenamente, e acho que devia ser aprovada.

Mas também é fato, que este projeto tem vários artigos, meio amplos e mal redigidos. E esta sua idéia de aprovar primeiro para arrumar depois, não funciona. Muita, mas muita gente inocente iria para a cadeia ou seria prejudicada antes de conseguirmos alterar uma lei para ser mais justa. A lei tem que ser corrigida, para ai sim ser aprovada.

Artigos amplos ou que levem a interpretação duvidosa, podem e são aplicados de forma arbitrária na justiça, e por mais que eu queira separar o joio do trigo e criar formas de realmente culpar os verdadeiros criminosos, não podemos permitir que as liberdades das pessoas de bem sejam cerceadas no processo.

Anchises disse...

Oi Alberto, obrigado pelo seu comentário, você tem razão de que um dos principais problemas do projeto de lei do Azeredo é justamente a forma com que ele está escrito, que dá margem para interpretações (tendenciosas ou não).

Se estas interpretações tendenciosas realmente seriam utilizadas ou se os tribunais concordariam com elas, só saberemos se o projeto for aprovado.

Mas, infelizmente, uma legislação ela deve ser escrita de uma forma que seja atemporal e relativamente genérica: ou seja, se uma determinada tecnologia mudar, a legislação tem que ser capaz de acompanhar. Por exemplo, se a lei falar em "computador", ela pode não valer para um crime (ex: vírus, trojan) em um celular, servidor ou notebook, dependendo da interpretação. Por isso, por exemplo, é que ela tem que usar termos como "sistema informatizado", ou "código malicioso" em vez de vírus.

Além do mais, as leis são escritas em "juridiquês", não em português e nem mesmo em "techniquês". Ou seja, todas as leis utilizam um vocábulário próprio, típico da área jurídica.

Por isso, acredito que devemos ter cuidado e pensar duas vezes quando criticamos a forma que o projeto de lei foi redigido. Concordo que há alguns pontos que dão margem a segundas ou terceiras interpretações, mas será que existe uma alternativa nestes casos?

Jeremias Moreira Gomes disse...

Tudo tem seu lado positivo e negativo.
Eu tive a oportunidade de participar desse seminário e ficara muito evidente o apelo marketeiro citado por vossa senhoria no que fora apresentado acerca dos assuntos em pauta.
Existe, é claro, a necessidade evidente de regulamentar o mais rápido possível os crimes cibernéticos, mas como vertente negativa deve-se tomar muito cuidado com o que se aprova, porque serão "juridiqueses" julgando sobre "informatiquês" e como os profissionais do ramo bem sabem, é muito simples, talvez por ignorância do assunto, alguém acabar sendo condenado injustamente ( 0 que ninguém almeja ) por algo não executado.
Eu fui esperando por pelo menos 10% de "tecnicidade" em alguma palestra e acabou que minhas esperanças foram em vão.
Obs: Após as 4 primeiras horas de palestra, me vira uma repórter e pergunta: Você sabe o que é IP???
Eu: (FACEPALM)

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.