Coluna Alerta Digital - 27/06/2024
- gazetadevarginhasi
- 27 de jun. de 2024
- 5 min de leitura
Considerações jurídico-criminais sobre a produção de malware no Brasil
No dia 30 de junho de 2022, a redação da Ciso Advisor (2022) noticiou que a empresa Avast de antivírus, a partir de monitoramentos, teria descoberto jovens com idades entre 11 e 18 anos a ofertar malware-as-service, uma espécie de kit de ferramentas para customização de programas de computador maliciosos, incluindo ransomware, stealers e criptomineradores, a partir de servidores do Discord, ou seja na Internet aberta.
O modelo de malware-as-a-service (MaaS) é semelhante ao de software-as-a-service (SaaS) legítimo, em que clientes pagam uma assinatura para acessar e usar o software e serviços baseados em nuvem. Em outros termos, com esse modelo, é possível praticar condutas típicas de um hacker, sem necessariamente possuir conhecimentos técnicos ou especializados mínimos de computação (Vasconcelos, 2023).
Sem dúvida, o modelo MaaS torna mais fácil para criminosos sem conhecimento técnico avançado realizar ciberataques, o que traz como consequência o aumento da disseminação de malwares. Por outro lado, a operação de um MaaS também pode implicar em maiores riscos, considerada a hipótese de que indivíduos menos tecnicamente capacitados tendem a cometer mais erros, o que pode permitir que as autoridades de persecução criminal venham a rastrear a operação e identificar o responsável, com mais facilidade.
Causa espécie, no entanto, que crianças e adolescentes estejam cada vez mais a praticar hacking em nosso país. Trata-se de um problema que merece detida investigação quanto a suas causas, a fim de se verificar de forma efetiva, onde está a falha, em especial quanto aos sistemas de controle formal e informal ora vigentes.
No que toca às motivações, cuja investigação minuciosa já é tardia, além da obviedade do ganho financeiro fácil e rápido, é possível especular pela existência de algo como uma pulsão (Freud, 2021), relacionada à euforia pelo proibido (simbolizada na luta entre o desejo de viver plenamente – Eros – e a tendência autodestrutiva – Thanatos), misturada com sentimentos de diversão e a possibilidade de manifestação pública de poder, potencializada pelas redes sociais e pelo anonimato.
Em relação a exteriorização do poder em redes sociais e em fóruns online, podemos refletir, a partir de Nietzsche (2010), como algo relacionado à vontade de potência (Wille zur Macht), aqui entendida como a força fundamental que impulsiona todos os seres vivos a crescer, a se afirmar, a exercer poder sobre si mesmos e sobre o ambiente ao seu redor. Apesar de Nietzsche ter trabalhado esse conceito a partir de uma perspectiva mais de autoafirmação e crescimento pessoal, não se pode negar que tais interessem podem vir a concretizar condutas ilegítimas ou socialmente inaceitáveis, em especial em ambientes familiares, escolares e sociais decadentes ou em desconstrução.
A ausência dos pais, a ignorância dos professores e cuidadores, a inexistência de programas de formação em cibersegurança e outras políticas públicas focadas em educação digital, aliados a um baixo investimento nas agências de investigação e prevenção da cibercriminalidade, podem estar no cerne da questão, sob o viés das causas justificantes. A essas poderiam ser adicionadas a possível falta de consciência (ou conhecimento) dos infratores quanto a existência de tipificação penal da conduta e de sua punibilidade, ou seja, da real possibilidade de privação da liberdade, com suas consequências penitenciárias e de etiquetamento (Becker, 2008), daí decorrentes. Tudo isso, pode, perfeitamente, ser um fator a atingir a pretensão de prevenção geral em cibercrimes de alta tecnologia, ínsita à dogmática jurídico-penal.
Ressalte-se que a tipificação da conduta de produção de malware foi trazida ao ordenamento jurídico-penal pátrio há já quase uma década, pela Lei nº 12.737, de 2012, conhecida como Lei Carolina Dieckmann, primeiro diploma legislativo brasileiro a cuidar de forma específica de crimes cibernéticos próprios. E está tipicamente prevista no §1º do art. 154-A, do Código Penal, que estabeleceu pena de 1 a 4 anos e multa para aquele que “produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática” ilícita de invasão de dispositivo informático de uso alheio ou a instalação de vulnerabilidades para obtenção de vantagem ilícita.
Para compreender a extensão da conduta ilícito-típica, é importante notar que a definição de dispositivo informático abrange qualquer equipamento que processe dados de forma eletrônica, a exemplo de computadores, smartphones, tablets, dentre outros. Para o fim da invasão ou instalação de vulnerabilidade propiciada pelo malware, não há necessidade de que esse dispositivo esteja conectado à Internet, podendo o acesso ser físico, diretamente no hardware, como no caso de uso de uma porta USB.
Os elementos do tipo penal são a produção, oferta, distribuição, venda ou difusão de programa de computador malicioso (malware) e a intenção de facilitar a invasão de dispositivo informático de uso alheio. Isso significa dizer que se o dispositivo a ser testado for de posse ou uso do próprio programador, não se há de falar em conduta criminosa. Da mesma forma, se o programador do malware não tiver a intenção de facilitar a invasão ou a instalação de vulnerabilidades em dispositivo informático de uso alheio, a conduta também não estará criminalmente tipificada.
Suponha que o cibercriminoso desenvolva uma ferramenta de segurança legítima que, devido a uma falha não intencional, permite o acesso não autorizado a dispositivos informáticos. Ainda que essa ferramenta venha a ser usada por criminosos para invadir sistemas, o programador do malware pode ser acusado criminalmente de agir com imprudência ou negligência por não prever e prevenir essa vulnerabilidade. A lei exige, portanto o dolo específico, direto ou eventual, não sendo admitida hipótese culposa.
Haverá dolo direto se o programador do malware desenvolver e vender o software malicioso com o intuito de que seja utilizado para a invasão ilícita de dispositivo informático de uso alheio ou instalação de vulnerabilidades. O dolo será eventual se, apesar de não ter esse objetivo, tem consciência livre e desimpedida de que esse é um resultado consequente de sua ação. Ao assumir o risco e não se importar com o resultado, o programador do malware incorrerá nas penas do §1º, do art. 154-A, do Código Penal.
Importa notar que a lei não exige que ocorra, de fato, a invasão do dispositivo informático ou a instalação de vulnerabilidade, para que o produtor do malware, ou aquele que oferece, distribui, vende ou difunde, sejam responsabilizados criminalmente. A conduta, nesse caso, está consumada independente do resultado, sendo este mero exaurimento daquela, motivo pelo qual se trata de crime formal.
Nos últimos anos, tem-se visto cada vez mais sofisticação e complexidade de ataques cibernéticos de forma global. Muitas das operações da Polícia Federal, em especial as que envolvem fraudes bancárias eletrônicas e crimes de alta tecnologia, somente foram viabilizadas pelo uso de malwares bancárias e de serviços de malware por assinatura, cada vez mais disseminados, não apenas na darknet, mas inclusive na web aberta.
Portanto, é essencial que o enfrentamento da cibercriminalidade vá além da repressão penal. Investimentos em educação digital, programas de conscientização, políticas públicas voltadas para a formação em cibersegurança e um maior apoio às agências de investigação são fundamentais. Além disso, a pesquisa contínua sobre as causas subjacentes e os métodos de prevenção é imprescindível para desenvolver estratégias eficazes contra a produção de malware e outros cibercrimes.
Ao responsabilizar criminalmente quem desenvolve e distribui essas ferramentas maliciosas, a legislação brasileira visa desestruturar a base logística dos cibercriminosos, tornando mais difícil a execução de invasões e outros cibercrimes.
No entanto, para alcançar uma redução efetiva da cibercriminalidade, é necessário um esforço integrado que considere tanto a repressão quanto a prevenção, fundamentado em evidências sólidas e uma compreensão profunda das dinâmicas envolvidas nesse fenômeno.
Comments