Os pagamentos milionários aos cibercriminosos são, sem dúvida alguma, o principal motivador para a expansão global dos ataques de ransomware. Segundo um estudo da Chainalysis, os operadores de ransomware receberam aproximadamente US$ 813,55 milhões em pagamentos das vítimas em 2024.
Esses ataques são comandados por organizações criminosas transnacionais, muito bem equipadas e organizadas, normalmente trabalhando em um modelo de afiliados, que contratam o ferramental de ataque no modelo "Ransomware as a Service" (RaaS).
Nessa linha, o pagamento de resgate à grupo cibercriminoso constitui o financiamento de uma organização criminosa, que é um crime previsto em lei, devendo portanto ser enquadrado no Art. 2º da Lei 12.850/2013.
Veja o que diz o artigo 2º, da Lei Federal nº 12.850/2013, que define organização criminosa e dispõe sobre a investigação criminal, os meios de obtenção da prova, infrações penais correlatas e o procedimento criminal a ser aplicado:
Art. 2º Promover, constituir, financiar ou integrar, pessoalmente ou por interposta pessoa, organização criminosa:
Pena – reclusão, de 3 (três) a 8 (oito) anos, e multa, sem prejuízo das penas correspondentes às demais infrações penais praticadas.
Detalhe: Segundo o § 4º, a pena pode ser aumentada de 1/6 (um sexto) a 2/3 (dois terços) se o produto ou proveito da infração penal destinar-se, no todo ou em parte, ao exterior (item III).
A exemplo de outros países, devemos buscar formas de punir as empresas que pagam o resgate a grupos criminosos, a fim de inibir essa prática. Por exemplo, há países que discutem a possibilidade de obrigar que a empresa que realiza o pagamento de resgates divulgue esse fato publicamente, comunicando o ocorrido às autoridades regulatórias competentes.
Além disso, vale destacar que existe um projeto de lei em tramitação no nosso Congresso que introduz o crime de "sequestro de dados informáticos" no Código Penal. O PL 879/2022, do senador Carlos Viana (Podemos-MG), define uma pena específica para invasão de dispositivo informático quando dela resultar a obtenção de dados pessoais. O autor propõe, nesses casos, uma pena de três a seis anos de reclusão, acrescida de multa. A pena é aumentada em caso de cobrança de resgate e se o crime for praticado contra órgãos públicos e autoridades dos Poderes da República.
O PL 879/2022 define o sequestro de dados informáticos como o ato de “tornar inutilizáveis ou inacessíveis, por qualquer meio, e com o fim de causar constrangimento, transtorno ou dano, sistemas ou dados informáticos alheios”.
A tipificação da extorsão por ransomware em um crime específico tem como vantagem deixar claro, ao legislador, ao judiciário e à sociedade, que tal crime está sendo combatido pelas autoridades brasileiras.
Para saber mais:
- Artigo do site ConJur, que me inspirou a escrever esse artigo: A contribuição financeira para promover organização criminosa configura o crime?
- 35% Year-over-Year Decrease in Ransomware Payments, Less than Half of Recorded Incidents Resulted in Victim Payments
- Lei Nº 12.850, de 2 de agosto de 2013
- Projeto que criminaliza sequestro de dados está na pauta da CCDD
- Projeto de Lei n° 879, de 2022
Nenhum comentário:
Postar um comentário