top of page
1e9c13_a8a182fe303c43e98ca5270110ea0ff0_mv2.gif

Coluna Alerta Digital - 05/10/2023


A Tipificação do Phishing na Convenção de Budapeste sobre o Crime Cibernético

Uma das práticas criminosas que mais tem preocupado autoridades e especialistas em segurança cibernética nos últimos anos é o phishing. Referido termo, sem tradução adequada para a língua de Camões, deriva do amálgama entre os vocábulos de origem anglo-saxônica “phraud” (fraude) e “fishing” (pescaria), em evidente alusão à ideia de “lançar uma isca” para atrair vítimas para esse revolto mar das fraudes cibernéticas.

Trata-se de uma técnica criminosa que já existia antes da internet, mas que foi beneficiada pelo uso massivo, facilidade e ubiquidade que a tecnologia traz para sua disseminação em todo o planeta. Por meio do phishing, é usual que o criminoso pretenda enganar o usuário da rede para que forneça informações pessoais, a exemplo de senhas e números de cartão de crédito, em sites falsos que imitam páginas legítimas.

A esse respeito, importa destacar o relatório de crimes cibernéticos do Internet Crime Complaint Center (IC3) (2021), do FBI, referente ao período de 2017 a 2021, parcialmente representado no gráfico que segue:


Fonte: Elaborado pelo autor, com base no FBI Internet Crime Report 2021


O gráfico de barras aponta o aumento nesse tipo de crime ao longo daquele período, com destaque para a extraordinária elevação de ataques por phishing entre 2020 e 2021 nos Estados Unidos da América. Como é cediço, o período de 2020 a 2021 coincide com o alastramento global da pandemia decorrente da Covid-19.

Não é difícil concluir que o aumento expressivo de novos usuários obrigados ao uso da rede mundial de computadores em ambiente home office, com menor qualificação em informática e sem a devida supervisão e controle do empregador, foi rapidamente percebido pela criminalidade cibernética como uma oportunidade para a comissão delitiva, em especial por meio de técnicas de engenharia social.

No Brasil, além do cenário pandêmico propício ao ambiente criminoso, houve um encontro de condições objetivas adicionais em face da ausência de uma legislação específica para a repressão dessa conduta. Ocorre que, em grande parte das vezes, o mero envio do e-mail ou da mensagem de texto (SMS) ao celular da vítima, não encontra tipificação específica no Código Penal.

Uma possível tipificação da conduta, poderia estar no estelionato. Esse crime, no entanto, conforme descrito no Art. 171 do Código Penal, é basicamente quando alguém engana outra pessoa para obter algum benefício financeiro. Isso significa que, mesmo que o enganador não consiga o dinheiro ou benefício, ele ainda pode ser considerado culpado se tiver a intenção de enganar.

Por outro lado, em razão da complexidade, o envio de um e-mail ou SMS falso, de forma aleatória, como em uma pescaria, apresenta ao hermeneuta uma grande dificuldade prática para a comprovação de sua relação primária com o interesse terciário de obter vantagem ilícita seja ela patrimonial ou não. Em outros termos, é perfeitamente viável que o phishing seja utilizado apenas para testes ou para “pescar” dados pessoais, sem outro interesse econômico associado.

O furto qualificado pela fraude, como descrito no art. 155, §4º, II, do Código Penal, aoseu turno, ocorre quando alguém engana outra pessoa para subtrair algo. A diferença principal entre este tipo penal e o de estelionato é que, no furto, o criminoso pega algo sem permissão do possuidor, enquanto no estelionato, a vítima é enganada a ponto de entregar voluntariamente o que o criminoso quer.
Tanto no furto quanto no estelionato, o bem jurídico protegido é o patrimônio, uma vez que ambos se encontram topicamente no Título II do Código Penal. A norma penal não estaria, assim, direcionada à conduta anterior que faz parte do phishing, consistente na perturbação a um sistema informático para obtenção de senhas ou dados pessoais, em especial quando não há o fim específico da obtenção da vantagem ilícita.

A esse respeito, importante mencionar que a Convenção de Budapeste sobre o Crime Cibernético, provavelmente o mais importante acordo internacional contra crimes online na atualidade, promulgado no Brasil pelo Decreto 11.491, no mês de abril de 2023, menciona no seu artigo 8 um crime chamado “Fraude informática”. Esse termo talvez seja a melhor aproximação descritiva de práticas como o phishing. O artigo menciona a necessidade de criminalização de interferências no funcionamento de um computador com a intenção fraudulenta de obter vantagem econômica ilícita.

Apesar de ainda não haver uma legislação nacional que se adeque de forma plena a esse dispositivo convencional, importa destacar que a Lei nº 14.155, de 2021, trouxe novos tipos penais cibernéticos que se esforçam a esse objetivo.

Exemplo notório de que o legislador pátrio tem intenção de proteger os novos bens jurídicos criados pelo ambiente tecnológico em que nos encontramos submersos foi a inclusão no Código Penal do art. 155, §4º-B, para cuidar do furto mediante fraude cometido por meio de dispositivo eletrônico ou informático.

Para a ocorrência dessa nova modalidade de furto cibernético o dispositivo pode estar conectado ou não à rede de computadores, e a violação de mecanismo de segurança não é obrigatória, assim como a utilização de programa malicioso (malware), uma vez que a lei admite a conduta por qualquer outro meio fraudulento análogo.

Da mesma forma, referida lei introduziu o art. 171-A ao Código Penal, chamado de “fraude eletrônica”. Essa lei pune quem engana alguém usando informações obtidas através de redes sociais, telefonemas, e-mails enganosos ou outros métodos similares.

Em um caso ou no outro, todavia, não se pune a conduta de quem tem interesse em interferir no sistema computacional para obter vantagem ilícita como consequência. Os tipos penais estão direcionados ao modo como a fraude é praticada.

Assim, se o cibercriminoso utiliza dispositivo eletrônico ou programa malicioso para furtar, aplica-se doravante o art. 155, §4-B, do Código Penal Por outro lado, se a fraude foi praticada com uso de informações fornecidas pela vítima, por erro, aplica-se o art. 171-A. Apesar dos esforços, entendemos que no Brasil, a punição do phishing, enquanto conduta autônoma, ainda permanece em aberto em nossa legislação penal.

Esse vácuo jurídico-legislativo pode, sim, dificultar a investigação e punição de criminosos que se utilizam de phishing como técnica de engenharia social para interferir em sistemas informáticos e lesar vítimas em nosso território.

Além disso, a omissão ressalta a necessidade de o legislador ordinário mover-se no sentido de atender ao compromisso internacional assumido pela República Federativa do Brasil de adequação de nossa legislação interna com as regras substantivas trazidas há mais de duas décadas pela Convenção de Budapeste sobre o Crime Cibernético.



Fonte consultada:


Internet Crime Complaint Center (IC3). (2021). 2021 Internet Crime Report. Federal Bureau of Investigation.

https://www.ic3.gov/Media/PDF/AnnualReport/2021_IC3Report.pdf


Comments


Gazeta de Varginha

bottom of page