Cibercrime - Que crimes?

Caracterizados que estão os diversos tipos de ataques informáticos mais frequentes, irá a presente rubrica debruçar-se sobre a tipificação penal dos crimes subjacentes, bem como dar uma panorâmica de que tipos de crime podem ser cometidos com recurso às Tecnologias de Informação (TI).

Os artigos invocados não vão ser escritos na íntegra, sob pena de tornar a leitura pesada, pelo que se sugere que a informação constante nesta rubrica seja complementada com a consulta da Lei do Cibercrime, disponível em: https://dre.pt/dre/legislacao-consolidada/lei/2009-128879174

Ter em consideração também que qualquer Lei é de caráter abstrato e generalista, de forma a poder ser usada em todas as situações. Tal resulta, com as limitações óbvias, que tipos de crime semelhantes possam ser enquadrados ou classificados, penalmente, de formas diferentes pela Autoridade Responsável.

Da consulta à Lei do Cibercrime facilmente se conclui que as penas aplicadas a cada um dos tipos de crime elencados acabam por ser bastante semelhantes, tendo uma variação pouco acentuada, independentemente do enquadramento legal dado ao ilícito.

QUE CRIMES SÃO PRATICADOS COM RECURSO ÀS TI?

I - Alfa acede ao sistema informático de uma empresa, sem autorização. De seguida consegue obter acesso ao sistema de correio eletrónico da empresa e inteirar-se do seu conteúdo.

Nas mensagens de correio eletrónico da empresa altera o IBAN da organização (aquele que é enviado em todas as faturas aos clientes), para um IBAN de uma conta bancária diferente, da qual Alfa tem o controlo. Tal tem como resultado que diversos pagamentos sejam enviados para o IBAN de Alfa.

A manipulação de dados informáticos para a produção de documentos não genuínos, com a intenção de que estes sejam usados para finalidades juridicamente relevantes, é considerada Falsidade Informática (Artº 3º), punida com pena de prisão no seu máximo de cinco anos.

*MO (modus operandi) vulgarmente conhecido por “Man-In-The-Midle”

II - Beta, após aceder ao sistema informático de uma empresa, cifra todos os dados respeitantes à sua atividade. Para a reversão da cifra, é necessária uma palavra passe que só Beta detém.

A destruição de dados, ou torná-los inacessíveis, é enquadrada como a prática de Sabotagem Informática (Artº 5º), punida com uma pena de prisão até cinco anos.

É também Sabotagem Informática a venda, distribuição ou disseminação por qualquer forma de programas informáticos, ou dados informáticos, destinados a produzir os resultados anteriores.

A pena aplicada passa a ter um máximo de dez anos, se o prejuízo causado for superior a 20.400€, ou se os alvos forem infraestruturas sociais críticas: saúde, segurança ou serviços públicos.

*MO vulgarmente conhecido por “Ramsomware”

Alfa e Beta, ao acederem a sistemas informáticos sem para tal estarem autorizados pelos proprietários, cometem cumulativamente, o crime de acesso ilegítimo, (Art.º 6º) punido com pena de prisão até um ano - vulgo “Hacking”.

Se o valor do benefício obtido com o acesso ilegítimo for superior a 20.400€, a pena é elevada, no seu máximo, para cinco anos de prisão.

III – Beta envia uma mensagem de correio eletrónico não solicitado, vulgo “Phishing”, para um empregado de uma empresa do sector da contabilidade, contendo um anexo que, à primeira vista, parece uma fatura em formato digital pdf, mas que na realidade contém software malicioso.

Ao abrir esse anexo para tentar consultar a “fatura”, é instalada uma aplicação informática no PC, que monitoriza toda a atividade do teclado e a envia para um servidor sob o controlo de Beta.

Na posse da informação digitada no teclado, da qual faziam parte as credenciais de acesso ao banco online da empresa, Beta transfere dali dinheiro para uma conta bancária sob a sua alçada.

Ao exfiltrar dados informáticos do seio do sistema informático da empresa, Beta comete o crime de interceção ilegítima, (Artº 7º) punido com um máximo de três anos de prisão.

O envio de mensagens de correio eletrónico de Phishing, bem como a utilização das credenciais de acesso à conta bancária da empresa por Beta, configura a prática de dois crimes de falsidade informática.

Os ilícitos praticados com recurso às TI não são punidos exclusivamente no âmbito da lei do Cibercrime. Existem outros diplomas legais que também penalizam este tipo de condutas:

1- Alfa, em I e Beta em III, ao utilizarem contas bancárias para tramitar dinheiro de proveniência ilícita (falsidade informática, acesso ilegítimo e interceção ilegítima), cometem cumulativamente, o crime de branqueamento de capitais, punido pelo Art.º 368.º- A do Código Penal, com pena de prisão até 12 anos.

Quem, sob qualquer forma de comparticipação e com conhecimento, auxiliar a prática do ilícito, por exemplo disponibilizando a sua conta bancária ou efetuando operações bancárias naquelas contas, comete o mesmo ilícito e está sujeito à mesma moldura penal.

Estas punições têm lugar mesmo que não seja conhecido o local da prática dos factos, ou mesmo tendo estes sido cometidos no estrangeiro.

Link para o diploma legal: https://dre.pt/dre/legislacao-consolidada/decreto-lei/1995-34437675

2 – Alfa trabalha para a firma Lambda. Para executar o seu serviço, acede a bases de dados com informação sobre clientes da firma. A informação contida na base de dados é propriedade da firma e Alfa só pode consultá-la e usá-la no desempenho das suas funções.

A determinada altura, Alfa demite-se da firma e constitui a sua própria firma, perfeitamente distinta de Lambda, não tendo as duas sociedades qualquer ligação.

Nessa nova firma, Alfa utiliza a informação contida na base de dados dos clientes da Lambda, da qual fez uma cópia antes de se demitir.

Ao utilizar esta informação, Alfa está a cometer, entre outros:

O crime de abuso de confiança, previsto e punido pelo Artº 205º, do Código Penal Português, punido com pena de prisão até três anos;

O crime de Não cumprimento de obrigações relativas a proteção de dados, previsto e punido pelo Artº 43º da Lei de Proteção de Dados Pessoais (Lei 67/98 de 26/10), punido no seu máximo com um ano de prisão.

Link para o diploma legal: https://dre.pt/dre/detalhe/lei/67-1998-239857

Paralelamente à condenação pelo crime, os autores de ilícitos penais podem ser condenados na pena acessória de indeminização cível aos lesados, em quantia determinada pelo Tribunal.

Se os ilícitos forem praticados em conjunto, por três ou mais pessoas que que façam parte de um grupo organizado para a prática de crimes, podem também ser condenados pelo crime de associação criminosa, previsto e punido pelo Artº 299º, do Código Penal Português: Os elementos do grupo podem ser condenados a uma pena de prisão até cinco anos e as chefias em pena de prisão até oito anos.

Link para o diploma legal: https://dre.pt/dre/legislacao-consolidada/decreto-lei/1995-34437675

Cada vez que a conduta do autor preenche o tipo de crime praticado, é contada como a prática de mais um crime do mesmo tipo: Alfa ao aceder ao sistema informático de uma empresa e de seguida ao correio eletrónico, comete dois crimes de acesso ilegítimo. Se, no espaço de um mês entrar no sistema informático da empresa e no correio eletrónico dez vezes, são tantas outras vezes que comete este tipo de ilícito.

Tal é válido para os vários crimes elencados, i.e., sabotagem informática, falsidade informática etc., excetuando-se o crime de associação criminosa.

Nota final: O objetivo desta rúbrica foi dar uma perspetiva bastante simples e prática dos ilícitos penais e respetivas punições, associados aos tipos de ataques informáticos mais comuns ao tecido empresarial da região.

Para o efeito, foi tentado estabelecer e manter o equilíbrio entre a realidade dos factos e os conceitos jurídicos, de forma a transmitir a mensagem com clareza.