domingo, 13 de julho de 2008

Manifesto: O PL de crime eletrônico e Peer2peer ponto a ponto - Entanda o Projeto Azeredo

Decidi fazer uma análise detalhada do texto aprovado no Senado do substitutivo aos PLS 76/2000, PLS 137/2000 e PLC 89/2003. O texto é longo mas acho que da pra dar uma idéia mais clara da qualidade do esmerado serviço público prestado pelo nosso Congesso Nacional.

Crime de Acesso não Autorizado.

Este primeiro tipo penal é talvez o mais ideológico de todos. Estabelece como crime

"Acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado. Pena - reclusão, de 1 a 3 anos, e multa.".


Se por um lado existe uma pressão para criminalizar a invasão de sistemas, por outro lado, existe todo uma história conceitual da Internet que se contrapõe a própria idéia de "Acesso não autorizado".
Do ponto de vista técnico, é complicado que uma lei fale de "violação de segurança" já que, no Direito, a idéia de segurança esta ligada com a idéia de risco à integridade física dos indivíduos. Ao estabelecer como elemento do tipo a "violação de segurança" o que se faz é trazer para realidade uma metáfora utilizada em informática que nada tem a ver com o mundo do direito. Essa mistura de realidade e ficção ficará mais clara mais adiante. Por hora cabe dizer apenas que um "ataque" a um sistema não é juridicamente um ataque, apenas um fluxo de dados e informações.
Do ponto de vista da cultura da Internet (não pretendo me estender já que esse ponto rende um post inteiro) a Internet foi concebida para ser uma rede de natureza pública onde o privado era exceção (sempre presente, mas sempre tratada como exceto). Assim, estabelecer áreas privadas de acesso restrito deveria ocorrer por responsabilidade daqueles que a definiam como tal. Essa lógica explicitava o fato de que não há espaço 100% seguro, bem como, a idéia de que a rede é para ser construída por todos... estabelecer o Acesso não Autorizado como um crime inverte essa lógica... é a mesma coisa que dizer que na rede, a propriedade privada passa a ser a regra, e qualquer violação desta regra será vista como punível. É dizer que uma pessoa (física ou jurídica) tem direito de deixar seus dados privados expostos sem a devida segurança pois qualquer espaço, por mais mal protegido que seja, é privado e a sociedade punirá os que nele adentrarem escusando de responsabilidade qualquer "vítima" de tal intrusão independente de eventual negligência em configurar ou assegurar devidamente o dado ou informação.

Transferência não autorizada de dado

"Obter ou transferir, sem autorização ou em desconformidade com autorização do legítimo titular da rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso, dado ou informação neles disponível:
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa."


Aqui afogar-se-ía o Peer-to-peer... na verdade os relatores do PL no Senado afirmam que a idéia aqui não era criminalizar a transmissão de Mp3 ou outros arquivos protegidos por direitos autorais por meio da Internet sem a devida autorização... sinceramente, só me lembro dos marcianos em Marte Ataca dizendo "Nos viemos em paz!" com a rizadinha característica no fundo.
Aqui há, no mínimo, uma redação infeliz. De fato, nada me garante que um determinado atravessador de informação não utilizará este tipo penal para estabelecer uma rede própria com um certo arquivo e depois alegar que, se alguém está transmitindo-o pela rede, esta fazendo sem sua autorização, incorrendo em crime.
Além do mais, o texto do artigo é excessivamente genérico o que é "dado", meu endereço de e-mail é um dado? meu número de cpf seria um dado? um trecho de uma reportagem não deixa de ser um dado... um resultado de uma pesquisa, um percentual de um infográfico qualquer é um dado... divulgar isso, "transferindo-o" seria crime! Um eventual estado autoritário (não que o nosso seja) poderia usar isso como forma de perseguir jornalistas que conseguissem informações não públicas e as publicassem... pessoalmente acho o conceito de "dado" algo abstrato de mais para estar escrito numa Lei... Leis são feitas para serem interpretadas, para dar "segurança jurídica" à toda a sociedade... que segurança se tem quando a letra da lei permite leituras amplamente distintas?

Divulgação ou utilização indevida de informações e dados pessoais

"Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal.
Pena – detenção, de 1 (um) a 2 (dois) anos, e multa."

Aqui o nome do crime vai bem... mas novamente aparece a palavra "dado" de uma forma que abre à interpretação.... citamos: "disponibilizar dados e informações pessoais contidas em sistema informatizado". Ora, pode-se entender que é crime disponibilizar "dados pessoais" e "informações pessoais" mas também é perfeitamente possível entender-se que é crime disponibilizar "dados" (mesmo que públicos) e "informações pessoais". E novamente vem a possibilidade do divulgador de informações de interesse público, como, por exemplo, um grande desvio de verbas, ser criminalizado por estar "divulgando um dado contido em um sistema informatizado".... alias... qual é a informação que, nos dias de hoje, não consta como um dado em algum sistema informatizado?

Dano à coisa eletrônica

"Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
Pena - detenção, de um a seis meses, ou multa"

Aqui a palavra "dado" seria dispensável (talvez "coisa eletrônica" fosse melhor)... Ora, os técnicos de informática que me respondam, qual é a operação ou interação possível com um sistema informático que, necessariamente, não implique em deteriorar algum dado eletrônico para produzir-se outros? Quais dados, num sistema, são considerados alheios? Um ping, um acesso a memória, uma cópia de arquivo... não ha ai a deterioração de pequenas porções de dados? Quem define o quanto de dado deteriorado é relevante para o direito? o Juiz? o Perito? o contexto? E os administradores ao intervirem em contas de usuários que violam os Termos de Uso do Serviço não estariam deteriorando dados alheios? (lembrem-se que não ha contrato civil que possa se sobrepor à lei penal).

Inserção ou difusão de código malicioso

"Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa."

Ok... a pergunta é: Oq é um "código malicioso"? A lei define como algo "desenvolvido para executar ações danosas ou obter dados ou informações de forma indevida".... Então posso dizer que um sistema operacional que se auto-degrada a cada 6 meses é um código malicioso? ou um update que causa instabilidade no sistema seria um código malicioso? Por outro lado, se alguém desenvolvesse um keylogger - ou até mesmo um vírus - apenas para demonstrar uma falha num sistema e o instalasse, não se trataria de código malicioso pq não foi "desenvolvido para executar uma ação danosa" mas sim para demonstrar uma falha de segurança? A quem cabe constatar se uma determinada linha de código foi desenvolvida "para o bem" ou "para o mal"? Com base em que critérios? Enviar Spam é uma ação danosa?[é mais provavel que não seja] Criar uma botnet para enviar Spam é uma ação danosa? [lembre-se que dano é definido no crime anterior e com base nisso, que tipo de código não é desenvolvido para, em algum grau, deteriorar um dado eletrônico...].

Estelionato Eletrônico

"Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento:
Pena - reclusão, de um a cinco anos, e multa.
§ 2º - Nas mesmas penas incorre quem:
VI - difunde, por qualquer meio, código malicioso com intuito de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado:"

Aqui a redação não possui erros propriamente ditos, apenas ignora o próprio conceito de estelionato que a Lei penal sempre utilizou. Para o crime de estelionato se consumar, é necessário que haja a obtenção de vantagem para um em prejuízo do outro. A forma como se redige o "estelionato eletrônico" é tudo, menos estelionato. Já que não trata, se quer, de obtenção de vantagem mas apenas da instalação de código.
Por conta deste "detalhe esquecido" basta que um estudioso de segurança de rede "transfira" para um colega, em arquivo zipado e de forma completamente "inócula" um spyware que tenha sido desenvolvido "com intuito de facilitar ou permitir acesso indevido à rede de computadores" para haver crime. Veja que sem a exigência da obtenção de vantagem, o crime se consuma mesmo que o "código malicioso" não seja executado e independente do intuito da pessoa (é o que se chama, em direito, de crime de mera conduta).

Atentado à segurança de serviço de utilidade pública
e
Interromper ou perturbar serviço telefônico, informático e etc...

"Art. 265. Atentar contra a segurança ou o funcionamento de serviço de água, luz, força, calor, informação ou telecomunicação, ou qualquer outro de utilidade pública:
Pena - reclusão, de um a cinco anos, e multa.

Art. 266. Interromper ou perturbar serviço telegráfico, radiotelegráfico, telefônico, telemático, informático, de dispositivo de comunicação, de rede de computadores, de sistema informatizado ou de telecomunicação, assim como impedir ou dificultar-lhe o restabelecimento:
Pena - detenção, de um a três anos, e multa."


Aqui deve-se analisar ambos os artigos porque o legislador, no afã de responder desesperadamente pela demanda "social" e de criar crimes de todos os tipos, esqueceu-se da própria letra da lei, e, porque não, da lógica básica.
No direito penal a premissa é que os crimes mais reprováveis devem receber punição maior, lembrem-se disso.

O atual artigo do Código Penal, que trata do atentado à segurança de serviço de utilidade pública, visa, essencialmente, os serviços de agua, luz, calor [leia-se gás], serviços que, se levados a um mal funcionamento, poderiam oferecer risco à segurança física e corpórea de pessoas.... assim que, atentar contra a segurança do serviço de água, por exemplo, significa colocar uma barragem em risco de se romper, ou atentar contra a segurança do serviço de luz implicaria em expor pessoas a um risco potencial de eletrochoque.
Por outro lado, os serviços de telefonia [aqui creio que deve ser incluir acertadamente a transmissão de dados], são fisicamente inóculos, razão pela qual, no atual artigo do Código Penal, não se fala, em atentar à segurança de tais serviços, também de utilidade pública, mas sim de interromper-lhes ou perturbar-lhes.
Porém, a reforma prevista no Projeto aprovado pelo nosso fantástico Senado Federal, pretende inserir a metáfora da "segurança de redes" no mundo da realidade fática... criando o crime de "Atentado à segurança de serviço de telecomunicação". Ora, veja só... primeiramente entramos no debate do que vem a ser, ao certo, um atentado à segurança de um sistema de informação... (com quantos pings se faz um ataque de negação de serviço? =D ) mas se isso por si só não fosse suficiente, veja que, se alguém atentar à segurança de um serviço de telecomunicação, poderá receber uma pena de Reclusão de 1 a 5 anos.... mas... por outro lado, se esse atentado à segurança for um meio para se derrubar o servidor e interromper-lhe o serviço, ai tudo bem, ai a pena é só de Detenção de 1 a 3 anos.... alguém me explica qual é a lógica que coloca a segurança do serviço de telecomunicação acima de sua manutenção e estabilidade?! Ou será que o legislador esqueceu de ler o resto da lei com o tamanho da pena? Ou será que não advertiram, os assessores, que a idéia de "segurança de sistemas" é uma metáfora e que a lei deve falar de realidade e não de ficção? Por que da forma como vai, em breve alguém vai passar a dar poder de polícia a agentes inteligentes em segurança de rede! Ou, quem sabe, aspirina pra rede neural... ou até um teste de Touring para se tornar cidadão.

Falsificar dado eletrônico ou documento público
e
Falsificar dado eletrônico ou documento particular

"Art. 297. Falsificar, no todo ou em parte, dado eletrônico ou documento público, ou alterar documento publico verdadeiro:
Pena - reclusão, de dois a seis anos, e multa.

Art. 298. Falsificar, no todo ou em parte, dado eletrônico ou documento particular ou alterar documento particular verdadeiro:
Pena - reclusão, de um a cinco anos, e multa."

Bem... novamente, dada a lacuna semântica que pessoalmente atribuo ao termo "dado"... pergunto: o que é exatamente um "dado eletrônico falso"? Uma cópia perfeita de um arquivo é um arquivo falso, ou tem-se dois arquivos verdadeiros? Uma chave válida vinda de uma origem não autentica é uma chave falsa?
A idéia do primeiro tipo penal era punir aqueles que se utilizassem de formas ilícitas para falsificar documentos públicos eletrônicos, mas, ao invés disso, me parece que criou uma letra morta... a final... dado é dado, a reprodução está na sua essência... gostaria de ouvir comentários sobre a possibilidade de uma cópia falsa de um dado verdadeiro pois minha limitada criatividade jurídica não me permitiu.
No caso do documento eletrônico público talvez fosse melhor abandonar a redação do artigo do Código Penal e criar um tipo penal próprio que tratasse de eventuais formas de se ludibriar a infraestrutura de chaves públicas oficial do Brasil, ou as autoridades certificadoras oficiais (já que a idéia de documento público eletrônico, na nossa lei atual, está intimamente ligada à idéia de assinatura digital)... o mesmo se aplíca ao particular, apesar de que, se a idéia de dado público falso já me parece difícil, a idéia de dado particular falso me parece muito mais... mas, como foi dito, pode ser que me falte a necessária criatividade...

No Código Penal Militar

Ali os crimes são basicamente a repetição do que consta no Código Penal comum apenas destacando o seguinte:

O dano também inclui a conduta de "fazer desaparecer dado eletrônico alheio" ou seja, se o soldado apagou o arquivo do computador do sargento sem que ele tenha feito backup, é prisão na certa... por outro lado, apagar e guardar uma cópia é o mesmo que "desaparecer"?
Ainda quanto ao dano, cria-se o crime militar de causar "dano a dado eletrônico de utilidade militar"... o que me leva a perguntar o que as forças armadas fazem com seus computadores que não seja de utilidade militar.... mas essa resposta eu prefiro deixar para a criatividade do leitor.

Das Definições Penais

Se não bastasse a generalidade dos tipos penais, ainda temos as belas definições que seguem abaixo:

Dispositivo de Comunicação: "qualquer meio capaz de processar, armazenar, capturar ou transmitir dados utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia;"
Este conceito deveria fazer referências àquelas coisas que comunicam informações, certo? errado... aqui foi incluído não só o que comunica mas praticamente qualquer coisa q trate ou guarde dado eletrônico. Um pen drive, um cd, um K7, até um disco de vinil, um ábaco, papiro, uma daquelas plaquinhas de argila da escrita cuneiforme [não sei se é assim que se chama], tudo isso, para o Projeto de Lei, virou "dispositivo de comunicação", já que, segundo a definição, não é necessário, se quer, que se trate de algo digital ou mesmo eletrônico.

Sistema Informatizado: "qualquer sistema capaz de processar, capturar, armazenar ou transmitir dados eletrônica ou digitalmente ou de forma equivalente;"
Bem, aqui "sistema" não é definido, e o"informatizado" fica a cargo daquilo que faça a mesma coisa que um "dispositivo de comunicação" só que de forma eletrônica, digital ou equivalente... e a pergunta é, o que é "equivalente" à digital ou eletrônico? seria analógico? seria binário? da pra incluir telégrafo, código morse e sinal de fumaça? Não sei, mas pelo menos, aqui, a definição já é um pouco mais restrita do que a anterior...

Rede de Computadores: " o conjunto de computadores, dispositivos de comunicação e sistemas informatizados, que obedecem a um conjunto de regras, parâmetros, códigos, formatos e outras informações agrupadas em protocolos, em nível topológico local, regional, nacional ou mundial através dos quais é possível trocar dados e informações;"
Esta sim uma definição acertada... exige-se um conjunto de computadores, protocolo, abrangência territorial e, troca de dados e informações!

Código Malicioso: "o conjunto de instruções e tabelas de informações ou qualquer outro sistema desenvolvido para executar ações danosas ou obter dados ou informações de forma indevida;"
Nesta definição inclui-se não só os malwares como também boa parte das ferramentas de segurança e administração, bem como, dos trabalhos acadêmicos sobre segurança e fragilidade de sistemas, lembrando que na lei não há uma unica linha mencionando que a prática de qualquer das condutas para fins acadêmicos, experimentais ou administrativos seja isenta de pena (lembro do processo criminal em que atuo em que responde um administrador de rede por ter executado um analisador de protocolo na própria rede que administrava).
Também cabe destacar que nesta definição o foco não é a finalidade lícita ou autorizada (como é o caso, por exemplo, de um administrador de rede que roda um crack para verificar fragilidades em pacotes de senha), no caso, o foco é a "forma indevida", ou seja, um "método" tido como indevido (brute force) pode se enquadrar na definição da Lei, mesmo que feito para um fim que não seja errado.

Dados informáticos: "qualquer representação de fatos, de informações ou de conceitos sob forma suscetível de processamento numa rede de computadores ou dispositivo de comunicação ou sistema informatizado;"
Ou seja, qualquer dado é informático já que a definição legal de "dispositivo de comunicação" inclui "qualquer outra tecnologia" capaz de "processar, armazenar, capturar ou transmitir dados", ou seja, é dado informático o cartão perfurado que alimenta um tear mecânico, as pedras em um ábaco, a disposição das peças em um tabuleiro de xadrez, a pedra de roseta e todos os papiros egípcios (representação de fatos armazenados em outras tecnologias).... e veja que a definição de dado informático é basilar, fundamental - é a essência - para todos os crimes que discutimos anteriormente!

Dados de tráfego: nem perderei muito tempo, aqui a definição não importa muito, o que importa é destacar que no copiar e colar do trabalho legislativo, definiram um conceito que a lei não utiliza... ou seja, define-se o que é dado de tráfego mas não se diz a que serve a definição já que os crimes não fazem diferença quanto ao tipo de dado a que se referem, logo, se referem a todos, independente de ser log ou arquivo de programa.

Pedofilia
"Apresentar, produzir, vender, receptar, fornecer, divulgar, publicar ou armazenar consigo, por qualquer meio de comunicação, inclusive rede mundial de computadores ou Internet, fotografias, imagens com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente:"

O crime de pedofilia me parece devidamente corrigido já que as condutas acrescentadas não mudam o espírito do tipo penal.

Crime Federal
A lei diz que os crimes praticados por meio da Internet podem ser investigados pela Polícia Federal quando houver "repercução interestadual ou internacional". Veja bem, primeiramente que o que "cai na rede" impreterivelmente repercute em escala nacional, ademais, a massiva maioria das queixas nas delegacias especializadas de crime eletrônico são referentes a crimes de injúria, difamação, calúnia e ameaça... ou seja, crimes eminentemente locais... porém, contra todo o senso comum, esses crimes eminentemente locais podem ser investigados pela Policia Federal... é como usar um canhão para matar uma mosca.... melhor seria restringir tal possibilidade a crimes praticados na Internet que sejam de maior gravidade como estelionatos, fraudes bancarias e coisas do gênero. De qualquer forma, me parece uma evolução da lei ter a Policia Federal como ente possível de atuar nos casos de crimes por Internet.

Da responsabilidade dos provedores

"I – manter em ambiente controlado e de segurança, pelo prazo de três anos, com o objetivo de provimento de investigação pública formalizada, os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada por meio de rede de computadores e fornecê-los exclusivamente à autoridade investigatória mediante prévia requisição judicial;"


Os provedores (leia-se, qualquer um que prove acesso, ou seja, a telecom, mas também, o dono do hub wi-fi, o tio da lan house, etc...) passam a ter a obrigação de armazenar todos os dados de todas as conexões realizadas por ele pelo período de 3 anos.... não seria preocupante se, no Brasil, tivéssemos um histórico confiável sobre os bancos de dados sigilosos... mas, não faltam casos na mídia de extratos bancários (alguem lembra do caseiro?), impostos de renda (a base de dados da Receita Federal TODA) dentre outros dados absolutamente sigilosos, veiculados por ai como se não importassem tanto assim... 3 anos de fluxo de dados de um grande provedor público, por exemplo, poderia ser de grande valia para criar factoides bem como, para ações contrárias aos interesses nacionais (alguem lembra dos grampos do Sivam?).

"§ 1º Os dados de que cuida o inciso I deste artigo, as condições de segurança de sua guarda, a auditoria à qual serão submetidos e a autoridade competente responsável pela auditoria, serão definidos nos termos de regulamento."

Não sendo suficiente, estes dados gravados por 3 anos serão auditados periodicamente por uma "autoridade competente responsável" ou seja, haverá uma autoridade ainda indefinida (Abin, PF, Kroll?) com poderes de vasculhar sistematicamente estes logs de TODOS os provedores de acesso de todo o país... isso me parece uma categórica renúncia a qualquer privacidade em favor do estado.

"III – informar, de maneira sigilosa, à autoridade competente, denúncia que tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de computadores sob sua responsabilidade."

Os provedores também deverão receber e encaminha denúncias ao poder público de quaisquer crimes que possam ter ocorrido dentro da rede sob sua responsabilidade... aqui não ficou claro se a intenção do legislador era transformar todo o provedor em uma pequena delegacia de registro de ocorrências ou coloca-los para investigar a própria rede de forma preventiva (o que implicaria impreterivelmente na violação de privacidade em maior ou menor grau).

"III – informar, de maneira sigilosa, à autoridade competente, denúncia que tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de computadores sob sua responsabilidade."

Acertado, porém, me parece a inclusão da obrigatoriedade dos provedores preservarem dados quando haja prévia ordem judicial para fins de investigação.

Bem, por hora é o que ha, com o tempo eu vou melhorando o texto. Comentários para melhorar a análise são bem vindos. [postagem pendente de revisão]

7 comentários:

Carine Roos disse...

Excelente análise. Com a pitada de humor ela ficou muito mais palatável. Tirando as devidas ironias ela daria um ótimo início de recurso. Que tal? Posso dar uma olhada no regimento interno, verificar prazos e procedência e tocar isso pra frente. Topa?

bjus

Horror Punk disse...

Espetacular, Ariel. Bem a tua cara esse tipo de resenha! Indefectível! Eu lia e ouvia a tua voz e a entonação irônica!

Abração!

Silvio

Anônimo disse...

Ariel, comungamos em vários aspectos, em especial quanto à importância da definição de "dado".

Concordo que para fins do 163 o dano mais desejável em termos de equiparação ou analogia seria o físico, portanto concordo com a "coisa", mas aí começa a se chocar com os resultados do "código malicioso", que por sua vez redunda com o "novo" estelionato, e com 265, 266...

Nossos legisladores ainda carecem de hermenêutica.

A melhor definição que achei é "projeto Frankenstein" - que no fim da história se volta contra o dono. Abraço!

Anônimo disse...

Com tantos pontos ficando obscuros, não seria caso de ADIN?

Paula Góes disse...

Obrigada pelo texto, Ariel, foi de grande valia para que a gente entenda melhor exatamente o que a lei diz e não diz. Vou citá-lo em um artigo que estou escrevendo para o Global Voices Online [www.globalvoicesonline.org] e gostaria de ver mais um post nesse novo blogue: em poucas linhas, como você concluíria as consequências de uma possível aprovação da lei?

Anônimo disse...

Prezado Ariel:
meu nome é Alex. Preciso falar contigo. Estou escrevendo um artigo sobre este tema. Tem como enviar-lhe um email? anote o meu: alexseverianni@gmail.com
saudações e muito obrig

Anônimo disse...

envia teu email preciso falar contigo

email: contato42@hotmail.com