Penas para golpes digitais como vazamentos de dados não passam de um ano de prisão

Registros de crimes digitais como vazamentos de dados, clonagens de cartões e acesso indevido a dados pessoais estão ficando cada vez mais comuns no Brasil.

Nas últimas semanas, dois grandes incidentes chamaram a atenção: a exposição de dados de mais de 223 milhões de pessoas, incluindo já falecidas, e a descoberta de um banco de dados com informações detalhadas de mais de cem milhões de números de celular.

No entanto, investigações, prisões e condenações de cibercriminosos não aparecem na mesma intensidade.

Para especialistas, baixa capacidade de investigação, falhas na legislação e penas muito brandas na comparação com as previstas em outros países para crimes digitais criam um ambiente de impunidade no país que favorece a expansão da ação de hackers mal intencionados.

— Hoje em dia, invadir dados pessoais pode ser mais danoso que invadir uma casa, mas a punição para estes crimes digitais é imensamente mais leve no Brasil que o roubo tradicional — diz Renato Opice Blum, economista e advogado, sócio do Opice Blum Advogados e membro do Conselho da EuroPrivacy, certificadora europeia de dados.

Os problemas, segundo especialistas, começam nas leis brasileiras. Um levantamento feito para O GLOBO pelo advogado Solano de Camargo, sócio do Lee, Brock e Camargo Advogados (LBCA) e especialista em direito digital, aponta que, no Brasil, uma pessoa condenada por crimes digitais vai enfrentar penas bem mais brandas que em outras nações.

Especialistas: Vazamento de dados não foi isolado e terá risco maior de se repetir com 5G

A chamada Lei Carolina Dieckmann — criada em 2012 com o nome da atriz que teve fotos íntimas roubadas de seu computador — prevê punição de três meses a um ano para hackers. Na prática, isso configura um crime de menor gravidade, que termina por não levar o criminoso à cadeia.

Alerta: Lojas que pedem dados em excesso podem contribuir para vazamento

Em outros países, a compreensão do risco coletivo que as atividades criminosas na internet representam já se reflete no endurecimento de penas para punir infratores digitais.

Nos EUA, crimes cibernéticos podem dar 20 anos de prisão. Na Coreia do Sul, dez, e no Reino Unido, cinco. Mesmo os países europeus com leis que tradicionalmente preveem menos encarceramento são mais duros que o Brasil. Penas variam de três a cinco anos em França, Alemanha e Itália.

Falta tipificação
O advogado Opice Blum reconhece que o Direito moderno busca mais formas alternativas de punição. Mas neste tipo de crime, diz ele, essa premissa não funciona porque os criminosos hackers não têm capital para pagar pesadas multas a ponto disso inibir os ataques.

— Hoje em dia, com a legislação que há, mesmo que alguém seja condenado, dificilmente vai para a cadeia. O mais provável é que a pessoa seja condenada a pagar cestas básicas ou realizar trabalho social. O resultado da ação criminosa é muito maior do que a pena que a pessoa pode pagar. A lei defasada incentiva e pode fazer compensar a prática do crime — diz o advogado. — O Brasil precisa assinar a convenção de Cibercrimes de 2001, de Budapeste, pois cria uma colaboração mútua investigativa e obriga o país a a melhorar suas leis.

Vazamento de dados: Brasil é o país com mais informações roubadas de cartões

Alguns crimes digitais sequer são previstas na legislação penal, dificultando a tipificação dos delitos. É o caso, por exemplo, de infecção de sistemas por malware, programas maliciosos que funcionam como um vírus que contaminam sistemas, computadores ou celulares.

Também não há previsão legal para enquadrar quem for flagrado em posse de algum equipamento utilizado para crimes cibernéticos ou de fornecedores de equipamentos com objetivo criminoso.

A falta de leis específicas obriga autoridades a se utilizar de leis ultrapassadas. No caso da chamada “negação de serviço”, quando um ataque coordenado derruba um servidor, a pessoa por trás da ação é enquadrada no artigo 266 do Código Penal, que fala de interromper serviços telegráficos, radiográficos ou telefônicos.

— A gente está muito atrasado em relação a outros países — diz o Opice Blum, que explica que a nova Lei Geral de Proteção de Dados (LGPD) trata mais das obrigações das empresas que detêm os dados, e que podem ser multadas em até R$ 50 milhões em casos de vazamento, do que dos criminosos que invadem sistemas.

O advogado Solano de Camargo lembra que o Brasil sequer centraliza informações sobre crimes digitais ou ações na Justiça relacionados a eles, mais um sinal da pouca importância dada ao tema.

Assim, há pouca estatística oficial sobre registros de ataques, investigações e condenações. No entanto, dados coletados por empresas de segurança digital indicam o Brasil como o segundo país mais atacado pela internet, atrás apenas da China.

Casos não vão à Justiça
A Central Nacional de Denúncias de Crimes Cibernéticos, uma parceria da ONG Safernet Brasil com o Ministério Público Federal, recebeu no ano passado 156.692 denúncias anônimas, o dobro das 75.428 registradas em 2019.

O advogado Filipe Silveira, sócio e responsável pela área penal empresarial do Silveira Athias Advogados, diz que o Brasil tem uma cultura de não dar o devido valor à informação. Ele vê falta de preparo das instituições governamentais no tratamento das denúncias.

— O Judiciário, na maioria das vezes, sofre com outros problemas. O governo investe em concurso, mas não em captação. Policiais vão aprendendo sobre crimes cibernéticos na marra, no dia a dia. Não há centro de perícia científica. O que chega no Judiciário são poucos casos de injúria, difamação ou estelionato por meio eletrônico, não necessariamente cibercrimes de invasão de dados — diz Silveira.

A Polícia Federal abriu inquérito sobre o megavazamento de dados descoberto em janeiro, mas ainda não houve resultados. A instituição não divulga o que foi apurado até agora.

Silveira alerta ainda que as leis brasileiras não diferenciam corretamente a gravidade dos crimes. Um caso da invasão de um único celular tem o mesmo tipo de pena prevista para um vazamento de grande porte.

Ana Frazão, advogada e professora da Universidade de Brasília (UnB), diz que o país precisa avançar também na cooperação internacional:

— A internet neutraliza a geografia e, infelizmente, a lei não leva isso em consideração. A LGPD até prevê a proteção de dados de brasileiros armazenados no exterior, mas é uma teoria. Na prática, não vemos como responsabilizar um hacker em outro país.

Ação de hackers custará US$ 6 tri
Qual o custo exato dos crimes digitais no mundo, com empresas e cidadãos no alvo? De acordo com estudo da Cybersecurity Ventures, empresa americana de pesquisa sobre a economia cibernética global, será de US$ 6 trilhões em 2021. Só dois países têm PIB maior que isso: EUA e China.

— Os custos do cibercrime incluem danos e destruição de dados, dinheiro roubado, perda de produtividade, roubo de propriedade intelectual, roubo de dados pessoais e financeiros, desfalque, fraude, interrupção das operações normais após um ataque, perícia, recuperação e eliminação de dados e sistemas hackeados e danos à reputação — disse Steve Morgan, fundador da Cybersecurity Ventures, ao apresentar o estudo, em novembro.

Esse impacto cresce rapidamente no mundo com a expansão das ações de criminosos. O custo estimado era metade disso, US$ 3 trilhões, em 2015. Segundo as projeções do trabalho, essa conta continuará crescendo a um ritmo médio de 15% ao ano até atingir US$ 10,5 trilhões em 2025.

Cibercrimes aumentaram na pandemia, com maior tráfego de dados na internet. Dados parciais de 2020 do Centro de Reclamações de Crimes na Internet (IC3) do FBI apontaram de três mil a quatro mil denúncias por dia. Em 2019, eram cerca de mil diárias.

No Brasil, a Embraer foi uma das empresas que foram alvo desse tipo de ação no país recentemente. A fabricante de aviões sofreu um ataque por ransomware, tipo de software malicioso que, uma vez dentro do sistema, criptografa dados e restringe acesso para que hackers cobrem um resgate.