Olha eu aqui de novo, o seu blogueiro favorito tentando opinar sobre legislação, rs... que me perdoem o Dr Renato Ópice Blum, a Dra Patricia Peck, o Dr José Milagres e a Dra Gisele Truzzi, grandes especialistas brasileiros em direito digital (dentre outros, claro, mas esses 4 foram os pioneiros e são as minhas referências no assunto).
O Brasil já possui um conjunto de leis que permitem o enquadramento dos crimes de ransomware:
- Artigo 154-A do Código Penal: Invasão de dispositivo informático (que foi definido pela "Lei Carolina Dieckmann");
- Art. 158 do Código Penal: Extorsão
- Art. 266 do Código Penal: Interrupção de serviço essencial (se o ataque afetar hospitais, setores de infraestrutura crítica como energia, saneamento, etc.)
- Lei 12.850/2013 (Organizações Criminosas), pode ser usado como agravante, uma vez que geralmente o ciberataque é realizado por um grupo muito bem estruturado.
As leis acima são suficientes para definir e punir o crime relacionado ao sequestro de dados por ransomware.
Mas está tramitando, no nosso Congresso Nacional, o PL 879/2022 do senador Carlos Viana (Podemos-MG), que define o crime de "sequestro de dados informáticos" dentro do nosso Código Penal e cria penas específicas para ele.
O PL propõe a introdução do crime de "sequestro de dados informáticos" no artigo 154 do Código Penal e o define como sendo o ato de “tornar inutilizáveis ou inacessíveis, por qualquer meio, e com o fim de causar constrangimento, transtorno ou dano, sistemas ou dados informáticos alheios” (redação sugerida pelo PL, na proposta de um novo artigo, o "154-C"). Também inclui o ato de "obter o controle remoto não autorizado em dispositivo invadido" no terceiro parágrafo do artigo 154-A, aquele artigo que foi criado pela Lei Carolina Dieckmann para definir o crime de "invasão de dispositivo informático"
O PL 879/2022 também propõe uma pena específica para o sequestro de dados, uma pena de três a seis anos de reclusão, acrescida de multa. A pena é aumentada em caso de cobrança de resgate e se o crime for praticado contra órgãos públicos e autoridades dos Poderes da República.
A alteração proposta pelo PL no Código Penal (Decreto-Lei nº 2.848, de 7 de dezembro de 1940) é a seguinte:
“Art.154-A. ..........................
..........................
§ 3º Se da invasão resultar a obtenção de dados pessoais, conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, ou informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 2 (dois) a 5 (cinco) anos, e multa, se a conduta não constitui crime mais grave”.
..........................” (NR)
“Sequestro de dados informáticos
Art. 154-C. Tornar inutilizáveis ou inacessíveis, por qualquer meio, e com o fim de causar constrangimento, transtorno ou dano, sistemas ou dados informáticos alheios:
Pena – reclusão, de três a seis anos, e multa.
§ 1º Incorre na mesma pena quem oferece, distribui, vende ou dissemina códigos maliciosos ou programas de computador, com o intuito de permitir a prática da conduta definida no caput deste artigo.
Forma qualificada
§ 2º Se o agente pratica a conduta prevista no caput deste artigo, com o fim de obter, para si ou para outrem, qualquer vantagem como condição ou preço do resgate:
Pena – reclusão, de quatro a oito anos, e multa.
§ 3º Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I - Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal;
IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.
§ 4º Aumenta-se a pena de metade a dois terços se o crime atingir dados ou sistemas informáticos de qualquer dos poderes da União, Estado, Distrito Federal ou Município, ou de autarquia, fundação pública, empresa pública, sociedade de economia mista ou empresa concessionária de serviços públicos.”
A vantagem de criar uma tipificação para a extorsão por ransomware, definindo como um crime específico, é deixar claro, ao legislador, ao judiciário e à sociedade, que tal crime está sendo combatido pelas autoridades brasileiras. Também deixa sua tipificação mais explícita para o poder judiciário poder enquadrar e punir essa conduta criminosa com mais facilidade.
Mas vocês notaram uma falha nessa proposta?
Ela não inclui o caso de extorsão por ransomware a partir de dados previamente roubados e da ameaça de expô-los publicamente. Essa tática, que chamamos de "dupla extorsão", acaba sendo muito efetiva em convencer a vítima a pagar o resgate pelo receio de ter suas bases de dados ou documentos internos expostos. Mesmo que a empresa tenha condições de restaurar os seus sistemas por si só, a ameaça de vazamento de dados acaba sendo um risco grande que pode acabar convencendo a vítima a pagar o resgate :(
Por isso, o ideal seria que o novo artigo 154-C proposto pelo PL também incluísse o cenário de extorsão pelo vazamento de dados. Ele poderia ter um parágrafo adicional, escrito mais ou menos assim:
"§ 5º Aumenta-se a pena em um terço se o crime incluir o vazamento de dados informáticos e posterior ameaça de exposição vexatória dos dados para a exigência de vantagem indevida, mediante extorsão.
Outra iniciativa que merece destaque é a “Força-Tarefa contra o Ransomware no Brasil” (RTF Brasil), fruto de uma parceria entre o Ministério das Relações Exteriores, a Organização dos Estados Americanos (OEA) e o Institute For Security and Technology (IST). O RTF Brasil visa fomentar discussões em nível nacional sobre os desafios enfrentados pela sociedade e pelo Estado brasileiros frente ao ransomware, promovendo diagnósticos atualizados e discussões sobre possíveis formas de enfrentamento contra o ransomware. O trabalho incluiu uma consulta pública que ficou aberta até o início deste mês, para ampliar a participação da sociedade brasileira, conduzindo a discussão dentro de 4 eixos: Desencorajar, Interromper, Preparar e Responder à ataques de ransomware.
Para saber mais:
- Post anterior no meu blog, publicado ontem, relacionado ao assunto: Pagar resgate de ransomware é crime!
- Projeto que criminaliza sequestro de dados está na pauta da CCDD
- Projeto de Lei n° 879, de 2022
- Art. 154A do Decreto-lei Nº 2.848 | Código Penal, de 07 de Dezembro de 1940
- Proposta dá ao MP a iniciativa em ação contra crime de invasão de dispositivos
- Iniciativa do Ministério das Relações Exteriores: “Força-Tarefa contra o Ransomware no Brasil” (RTF Brasil)
- Brasil é o novo foco da OEA para combater ransomware
- Strengthening Brazil’s Cybersecurity: The Brazil Ransomware Task Force
- Em setembro de 2024 ocorreu a Ransomware Task Force (RTF) Conference in Brazil
- Em 2020 surgiu o Ransomware Task Force (RTF)
- Meu post aqui no Blog sobre a Lei Carolina Dieckmann: Habemus Legem
Nenhum comentário:
Postar um comentário