Há 10 anos o Brasil tenta aprovar uma Lei sobre Crimes Cibernéticos. O Projeto de Lei nº 89 de 2003, que recebeu a denominação de "Projeto Azeredo", foi aprovado pelo Senado Federal e está em tramitação na Câmara sob análise da Comissão de Ciência e Tecnologia. Por isso, qualquer alteração no texto, realizadas pelos relatores da casa, também refletem no Senado, uma vez que os senadores já o aprovaram. A ideia é realizar ajustes para acelerar a aprovação, principalmente em pontos considerados polêmicos tanto do ponto de vista técnico quanto jurídico.

“Não acredito que nos próximos quatro ou cinco meses um novo PL seja apresentado em 2010 porque é um ano de eleições. De novo, passaremos 2010 e vamos para 2011 sem ter uma legislação que iniba o crime digital, fortalecendo as quadrilhas de criminosos”, opina Sérgio Ricupero, CSO da Editora Abril.

O principal motivo da não aprovação do PL é que há diversos pontos polêmicos na interpretação do texto e, ainda, discussões entre técnicos e o legislativo em questões que tratam, por exemplo, do acesso indevido e sobre a responsabilidade pela disseminação de códigos maliciosos na internet. Semeghini concorda. E, por isso, o PL deve esclarecer as principais questões polêmicas. “Primeiro, sobre a tipificação do crime. Isso abrange o acesso não autorizado e a inserção de código malicioso. Esses dois pontos são fundamentais para combater o crime na sua origem".

Ainda segundo o Deputado, precisamos avançar em outras esferas, em leis que permitam os acordos internacionais ou convenções que o Brasil deveria participar como o caso do Acordo de Budapeste. Hoje, grande parte dos criminosos está no Brasil, mas usa a rede em outros territórios. "Ou aguardemos até que a ONU discuta isso sem que o assunto fique restrito às convenções internacionais”.

Semeghini ressalta dois outros pontos: a territoriedade dentro do Brasil, ou seja, agilizar, criar integração, permitir ação conjunta entre as polícias. E, por último, o provedor de acesso, um dos atores mais sensíveis no PL, gerador de uma ampla discussão no mercado.

“Veja, não estamos falando de conteúdo, mas de identificar o horário do tráfego de acesso, dia em que a informação foi trocada entre ambas as partes. Mais da metade dessas informações não são armazenadas pelos provedores. Aqueles que as guardam entregam em baixa qualidade quando solicitadas pela polícia. Por isso, precisa haver uma regulamentação, uma legislação coesa. Portanto, não é uma questão de invasão de privacidade. A informação só será aberta caso haja ordem judicial”, completa Semeghini.

Cristine Hoepers, gerente geral do CERT.br, critica: “é preciso evitar a aprovação de uma lei que, no futuro, crie opções de defesa por parte do criminoso. Precisa ficar claro de quem é a culpa, do usuário ou da empresa? Quem dissemina e quem autoriza o acesso e/ou a disseminação de malwares? E a privacidade? Qual o papel do provedor de acesso? Na linguagem técnica, o texto do PL não é claro quando se refere ao tráfego. Esse termo, na linguagem técnica, significa conteúdo. Então, o provedor terá que guardar o conteúdo de seus usuários? E terá que abrir essas informações sob ordem judicial? Não seria invasão de privacidade?”. De acordo com Semeghini, essas dúvidas podem ser melhor esclarecidas por meio do acompanhamento da evolução do PL.

Normas técnicas globais
Diante de um cenário de avanços tecnológicos tanto para o bem quanto para o aumento de crimes digitais, há uma urgência de criar mecanismos que inibam o cybercrime. Tanto que, segundo Denny Roger, diretor técnico da Abrasinfo (Associação Brasileira de Segurança da Informação), a ABNT criou um comitê para constituir normativas, dentro do padrão ISO, para haver uma norma internacional de segurança. “Esse Comitê de Estudos Especiais já realizou uma primeira reunião nos Estados Unidos e até o primeiro trimestre de 2010 haverá outro encontro no País. O objetivo é criar esse padrão internacional para fazer a troca de informações entre os profissionais forenses de outros países”, comenta.

A padronização e normas para condutas entre os países sobre a territorialidade é hoje uma questão que trará um novo modelo de relações internacionais. “Temos hoje uma diretiva europeia que protege a privacidade e confidencialidade. O Brasil não pode receber informações da União Européia, por exemplo”, ilustra o advogado especialista em crimes digitais, Renato Opice Blum.

“Toda a lei se torna polêmica, como a Lei de Propriedade Intelectual. Sempre haverá dúvidas. Portanto, não vejo que devemos nos preocupar tanto com os detalhes do texto e a sua interpretação técnica e/ou legal. Se isso acontecer, não teremos uma legislação”, acrescenta Ronaldo Atílio Rigon, assessor de Auditoria da PROCERGS.

Compasso de espera
Enquanto não há uma normativa nem lei, as organizações reagem conforme as suas políticas internas para proteger as suas informações. “A não existência de uma legislação gera incertezas e muita polêmica. Nesse mundo cybernético, um tanto vulnerável, sem fronteiras, em que as pessoas atuam como anônimas, fica mais fácil para o criminoso praticar atos sem que a justiça o encontre. Por isso, a lei não deve ser punitiva, mas escrita para desestimular o crime. Não basta ter uma punição, mas meios da autoridade policial investigar e montar um processo”, declara César Augusto Faustino, gerente de Prevenção a Fraudes do banco Itaú-Unibanco.

Com uma participação remota durante o debate, o delegado José Mariano de Araújo Filho, da Polícia Civil do Estado de São Paulo,  professor da Academia da Polícia Civil de São Paulo e especialista na investigação de Crimes por Meios Eletrônicos, estava na Argentina e criticou o modelo atual de investigação de crimes digitais.

“A morosidade na aprovação da Lei impacta num retrocesso para o País. A questão discutida é aperfeiçoamento daquilo que já existe e não refazer um novo projeto de lei. Isso gera um acúmulo de casos e os recursos da polícia têm se mostrado insuficientes. Não temos tido condições de avançar e o Estado tem se mostrado, até certo ponto, desinteressado, o que causa a sensação na sociedade que estamos à deriva. Para se ter uma idéia, as informações chegam com 90 a 120 dias em nossas mãos. O crime eletrônico não é somente volátil, mas tem uma característica peculiar e cada um dos envolvidos troca de experiência com muita agilidade. Os órgãos não mostram capacidade de que as informações circulem pelos órgãos de segurança”, diz Mariano.

Nesse sentido, Ricupero também questiona não só a morosidade da lei, mas a maturidade das organizações. “Até que ponto a área de Segurança da Informação está bem posicionada? Somente do ponto de vista de infra-estrutura tecnológica ou é considerada estratégica, como deveria ser? Normalmente, as empresas estão sendo reativas em 80% dos casos”.

De quem é a culpa?
E o crime vai além de classe social. Mas é um jogo de interesses. A falta de uma legislação permite que altos executivos pratiquem o roubo de informações que geram diversos prejuízos para as organizações. E como puni-los? “Alguém que divulga a informação da fórmula de um medicamento, ela vai responder pela Lei de Propriedade Industrial. No máximo, prestará serviço social. O mesmo ocorre quando alguém envia um código malicioso, ocasionando a paralisação nos sistemas de missão crítica. A pena não passaria de seis meses. Posso destruir a vida de sistemas financeiros e a penalização é pequena comparada com o rombo”, observa o doutor Renato Opice Blum.

Opice Blum esclarece que hoje há mais de 200 Projetos de Lei sobre crimes de internet. A maior parte deles altera ou acrescenta artigos no código penal e quem possui mais de 350 artigos na parte geral (o que é dolo e o que é culpa). "Qualquer análise precisa ser realizada em conjunto com o código penal. Porém, como existem questões técnicas envolvendo sistemas, precisamos conjugar os dois profissionais".

A questão jurídica começa quando é preciso ter clareza entre o que é dolo e o que é culpa. Dolo é quando a pessoa pratica um ato de forma voluntária e proposital. No caso da culpa, o fato ocorreu e não necessariamente do fato deliberado da pessoa, ela foi displicente. A regra é a punição pelo dolo, as exceções são pela culpa e quando ocorre é uma pena reduzida.

“Mas se alguém invade ou usa meu sistema? Num primeiro momento não tenho responsabilidade nenhuma, mas como saberei quem fez (uma perícia técnica é necessária) e o efeito culpa teria reflexo no nosso código penal, mas temos só a conduta dolosa. Por isso, legalmente é preciso analisar a situação como um todo”, explica Opice Blum quando lembra que a legislação não é uma ciência exata porque o juiz é quem formará a acusação.