Introdução
Na era digital, uma das principais ameaças à segurança cibernética são os malwares, softwares maliciosos usados para danificar ou explorar dispositivos e redes. A crescente sofisticação desses dispositivos fez surgir a necessidade de acompanhamento do ordenamento jurídico brasileiro e das autoridades de segurança pública, a fim de erradicar a problemática.
__________________
Com o uso cada vez mais recorrente dos meios digitais, as formas de ataque por esses meios também se aprimoram. A cada dia, novos ataques cibernéticos são realizados, explorando vulnerabilidades das pessoas através dos sistemas digitais, causando impactos significantes às vítimas, que podem ser de diversas naturezas. Pessoas físicas podem ter suas informações pessoais roubadas, como contas bancárias invadidas e até mesmo suas identidades apropriadas por terceiros. Empresas também podem ser consideradas alvos vulneráveis e, quando vítimas, podem sofrer perdas financeiras significativas, danos à reputação e interrupções em suas operações. Além disso, governos e instituições públicas também são alvos frequentes, com ataques que podem comprometer infraestruturas críticas e a segurança nacional.
Dessa forma, considera-se cibercrime tanto quando há utilização da informática para prática de um crime quanto nas hipóteses em que um meio tecnológico é objeto do crime. Neste tocante, destaca Cassanti:
Toda atividade onde um computador ou uma rede de computadores é utilizada como uma ferramenta, base de ataque ou como meio de crime é conhecido como cibercrime. Outros termos que se referem a essa atividade são: crime informático, crimes eletrônicos, crime virtual ou crime digital. (CASSANTI, 2014, p. 3)
Nesse sentido, os crimes cibernéticos se referem justamente às problemáticas apresentadas, sendo considerados atividades que objetificam explorar ou danificar sistemas computacionais e de rede. Esses crimes, em suma, são caracterizados por serem delitos cometidos na esfera digital, ou seja, na internet e dispositivos tecnológicos. Por isso, todas as utilizações dos dados pessoais dos indivíduos e atualizações de programas que operam virtualmente devem ser autorizados, pois qualquer vazamento, uso indevido, ou violação das diretrizes autorizadas pelo usuário podem configurar crimes cibernéticos.
Apesar de as formas mais comuns de crimes cibernéticos estarem atreladas a golpes online e crimes de identidade, na qual a vítima é enganada ou induzida ao erro viabilizando a ocorrência de fraudes, outros modos de ataque são consideravelmente mais danosos na perspectiva do direito brasileiro.
Os ransomwares, por exemplo, são uma forma de extorsão online, caracterizada pela criptografia de dados e conseguinte exigência de “pagamento de resgate” para a liberação dos mesmos. Além disso, a espionagem cibernética e a sabotagem digital também são ferramentas utilizadas por criminosos para obter vantagem ilícita ou causar danos.
Cada vez mais, ataques a empresas, indivíduos, documentos públicos e privados causam consequências mais sérias, que não se limitam aos aspectos financeiros. Diante da recorrente aparição e aprimoramento das diversas formas de crimes virtuais, surgiu a necessidade de regulamentar o uso das redes sociais, prever políticas de privacidade aos usuários e sanções aos autores das ocorrências.
Diante disso, surgiram diversos dispositivos legais que preveem as diversas manifestações relacionadas aos malwares e as possibilidades de responsabilização pelos danos causados por meios digitais.
Sobre o assunto, aduz o jurista Jose Antônio Monteiro Neto:
Segundo o balizamento constitucional, coube ao Direito Penal estruturar mecanismos efetivos de prevenção e sanção às condutas lesivas a esses novos bens e valores surgidos com o advento da Sociedade da Informação e devidamente abarcados pela ordem político-jurídica materializada na Constituição. A descoberta da vulnerabilidade dos sistemas eletrônicos permitiu à realização de condutas ilícitas prejudiciais a manutenção dos níveis mínimos de segurança e credibilidade necessários a continuidade do modo de produção informacional. Essas novas condutas praticadas contra, ou através de meios e bens eletrônicos, passaram a ser denominadas de cybercrimes, crimes virtuais, crimes informáticos ou crimes eletrônicos. Condutas as quais, em sua maior parte, encontram-se carentes de regulamentação. Essa lacuna legal só fortalece a sensação de que o espaço eletrônico assemelha-se a um verdadeiro “mundo sem lei”, uma espécie de “velho oeste virtual” onde se proliferam as ações criminosas. (MONTEIRO NETO, 2008, p. 10).
Com isso, é evidente a dificuldade do direito brasileiro de acompanhar as mudanças que ocorrem com o progresso das tecnologias e as diferentes formas dos crimes cibernéticos. No entanto, há um esforço ativo para o combate da criminalidade cibernética, como a aprovação de Leis e portarias que visem a proteção das pessoas no âmbito virtual.
No âmbito civil, o Marco Civil da Internet e a LGPD, Leis n° 12.965/2014 e n° 13.709/2018, trouxeram a regulamentação e estabeleceram diretrizes e princípios para o uso da internet de forma disciplinada no Brasil, assim como a determinação das formas adequadas de tratamento dos dados pessoais nos meios digitais.
Na esfera penal, a Lei nº 12.737/2012, também conhecida como Lei Carolina Dieckmann, incluiu os artigos 154-A e 154-B no Código Penal Brasileiro, tipificando os crimes relacionados à invasão de dispositivos informáticos, como computadores e dispositivos móveis. Além disso, a Lei 14.155/2021 criminaliza o furto qualificado mediante fraude eletrônica, e, mais recentemente, a Lei 14.811/2024, que considera o cyberbullying, intimidação realizada virtualmente, um crime contra à liberdade pessoal.
Diante das várias maneiras que os autores usam de softwares maliciosos para invadir dados pessoais de usuários online e utilizá-los desonestamente, a tipificação dos crimes cibernéticos trouxe ao sistema de segurança pública brasileiro uma gama de procedimentos a serem seguidos quando houver tais ocorrências, e as possibilidades de responsabilização dos autores ou de terceiros má-gestores de informações pessoais. A responsabilidade civil e penal em crimes cibernéticos é mensurada de acordo com a natureza do crime e o dano causado, e pode ser atribuída tanto ao autor direto do crime quanto a terceiros que facilitam sua realização.
A imputação de responsabilidade civil tem por objetivo a reparação do dano causado à vítima, seja ele material ou moral. Para isso, são analisados os deveres legais atribuídos à uma entidade e as consequências de uma violação desse dever.
Já na esfera criminal, a responsabilização se dá como forma de punição pela ocorrência do crime. Aqui, as regulações estão previstas tanto no Código Penal de 1940 quanto na Lei nº 12.737/2012, também conhecida como Lei dos Crimes Cibernéticos. As sanções, que devem ser atribuídas pelos magistrados de forma proporcional aos danos causados à(s) vítima(s), podem ser penas privativas de liberdade, privativas de direito ou pagamento de multa, a depender do delito cometido e da gravidade do mesmo.
No âmbito empresarial, para tratar de imputação ou não de responsabilidade sobre a empresa responsável pelo dispositivo tecnológico ou software, considera-se que os usuários do programa respectivo são equivalentes à consumidores, uma vez que são destinatários/alvos de um produto ou serviço específico. Aqui, considerando a vulnerabilidade do consumidor como princípio basilar do CDC, a responsabilidade empresarial pode ser determinada nos espectros das relações de consumo previstas no Código.
Tendo em conta esta postulação, determina o CDC:
Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
§1° O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais:
I – o modo de seu fornecimento;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – a época em que foi fornecido.
§2º O serviço não é considerado defeituoso pela adoção de novas técnicas.
§3° O fornecedor de serviços só não será responsabilizado quando provar:
I – que, tendo prestado o serviço, o defeito inexiste;
II – a culpa exclusiva do consumidor ou de terceiro.
Também, indica a Lei Geral de Proteção de Dados:
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.~
[…]
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Portanto, analisando as legislações reguladoras dos meios digitais e da Internet sob a ótica consumerista, tem se que qualquer empresa, operadora de plataformas ou softwares virtuais, está sujeita aos riscos e responsabilidades da atividade inerente. Não somente, a simples possibilidade de prejuízo ao consumidor, nesse caso, usuário ou titular de dados pessoais protegidos, já afasta a necessidade de análise da presença ou não de culpa do fornecedor do serviço:
o CDC adotou expressamente a ideia da teoria do risco-proveito, aquele que gera a responsabilidade sem culpa justamente por trazer benefícios, ganhos ou vantagens. Em outras palavras, aquele que expõe aos riscos outras pessoas, determinadas ou não, por dele tirar um benefício, direto ou não, deve arcar com as consequências da situação de agravamento. Uma dessas decorrências é justamente a responsabilidade objetiva e solidária dos agentes envolvidos com a prestação ou fornecimento. (TARTUCE; NEVES, 2017, p. 156)
Ainda, as instituições bancárias têm uma responsabilidade ainda mais clara e objetiva nesse tema. Devido aos usuários confiarem à essas instituições dados extremamente sensíveis, é entendimento doutrinário e jurisprudencial o dever de indenização à vítimas de golpes ocorridos em decorrência do tratamento indevido de dados pessoais bancários. Nesse sentido, aduz a súmula 479 do STJ: “A instituição financeira responde pelo defeito na prestação de serviço consistente no tratamento indevido de dados pessoais bancários, quando tais informações são utilizadas por estelionatário para facilitar a aplicação de golpe em desfavor do consumidor.”
Portanto, a análise da responsabilidade imputável às empresas quando da ocorrência de crimes cibernéticos em seus programas de software é realizada sob um viés de vulnerabilidade do usuário ou consumidor do serviço ou do produto. Assim, muito além do mal tratamento dos dados, outras práticas omissivas quanto à proteção e segurança dos meios virtuais disponibilizados podem ser motivações de responsabilização.
Referencias:
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Dispõe sobre a Proteção de Dados Pessoais. Diário Oficial da União, Brasília-DF, 14 de agosto de 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 27 fev. 2024.
BRASIL. Lei n. 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Diário Oficial da União, Brasília-DF, 24 de abril de 2014. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/. Acesso em: 27 fev. 2024.
BRASIL. Lei Nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Diário Oficial da União, Brasília, DF, 11 de setembro de 1990. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acesso em 01 mar. 2024.
BRASIL. Lei n. 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos. Diário Oficial da União, Brasília, DF, 30 de novembro de 2012. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm. Acesso em: 01 mar. 2024.
BRASIL. Lei n. 14.811, de 12 de janeiro de 2024. Institui medidas de proteção à criança e ao adolescente contra a violência nos estabelecimentos educacionais ou similares. Diário Oficial da União, Brasília – DF, 12 de janeiro de 2024. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2024/lei/l14811.htm. Acesso em: 01 mar. 2024.
BRASIL. Superior Tribunal de Justiça. Súmula n. 479.
BAPTISTA, Lorena Prado. Crimes cibernéticos: uma análise sobre como a tecnologia está a serviço da criminalidade no brasil. 2022. Trabalho de Conclusão de Curso (Graduação em Direito)- Pontífica Universidade Católica de Goiás, Goiânia, 2022. Disponível em: https://repositorio.pucgoias.edu.br/jspui/handle/123456789/4706. Acesso em: 01 mar. 2024.
CASSANTI, Moisés de Oliveira. Crimes Virtuais, Vítimas Reais. 1. ed. Rio de Janeiro: Brasport, 2014.
FERREIRA, Sarah Pereira. Crimes cibernéticos: a ineficácia da legislação brasileira. 2021. Trabalho de Conclusão de Curso (Graduação em Direito) – Pontífica Universidade Católica de Goiás, Goiânia, 2021. Disponível em: https://repositorio.pucgoias.edu.br/jspui/handle/123456789/1709. Acesso em: 01 mar. 2024.
MONTEIRO NETO, J. A. Aspectos Constitucionais e Legais do Crime Eletrônico. 2008. Fundação Edson Queiroz, Fortaleza, 2008. Disponível em: https://egov.ufsc.br/portal/sites/default/files/cp055676.pdf, Acesso em: 29 fev; 2024.
NASCIMENTO, S. de P. Cibercrime: conceitos, modalidades e aspectos jurídicos penais. Âmbito Jurídico, 3 set. 2019. Disponível em: https://ambitojuridico.com.br/cadernos/internet-e-informatica/cibercrime-conceitos-modalidades-e-aspectos-juridicos-penais/. Acesso em: 27 fev. 2024
REZENDE, Giulia Gabriele. O phishing e a responsabilidade empresarial: aspectos sobre as medidas protetivas do empresário face ao prejuízo de seus usuários. 2022. 23 f. Trabalho de Conclusão de Curso (Graduação em Direito) – Universidade Federal de Uberlândia, Uberlândia, 2022. Disponível em: https://repositorio.ufu.br/handle/123456789/34807. Acesso em: 01 mar. 2024
SILVA, Ronaldo Couto da; NOVAIS, Thyara Gonçalves. A lei geral de proteção de dados e sua aplicação no combate aos crimes cibernéticos: desafios e perspectivas. Revista Ibero-Americana de Humanidades, Ciências e Educação, Disponível em: https://periodicorease.pro.br/rease/article/view/12254. Acesso em: 23 fev. 2024.
TARTUCE, Flávio; NEVES, Daniel Amorim de Assumpção. Manual de Direito do Consumidor. 17. ed. São Paulo: Editora Forense, 2017
