Nova lei do cibercrime vem punir ataques informáticos

“Não é por ter a tecnologia state of the art, a última tecnologia do ponto de vista da segurança, que constrói os muros mais altos à volta do meu castelo, que não vou sofrer um incidente.” As palavras são de Lino Santos, coordenador do Centro Nacional de Cibersegurança. O cenário: o POD Pensar, podcast da DECO PROTESTE, no episódio que debateu a cibersegurança. As palavras de Lino Santos podem, no entanto, parecer contraditórias. Se, independentemente das medidas adotadas, qualquer um está sujeito a ataques, para quê proteger os sistemas informáticos? A leitura deve ser outra. Não existem sistemas 100% seguros, mas não devemos ser nós a contribuir para as vulnerabilidades, descurando cuidados que mitigam os riscos.

O episódio Ciberataques: os crimes que param o mundo foi para o ar em fevereiro de 2022, quando ataques mediáticos se sucediam desde há meses, quais peças de dominó, fazendo cair algumas faculdades da Universidade de Lisboa, o grupo Impresa, os Laboratórios Germano de Sousa e a Vodafone e, com a última, arrastando, por exemplo, o bom funcionamento dos serviços do INEM. E isto só em Portugal. Do estrangeiro, chegavam notícias de ataques a instituições da União Europeia, a universidades, a escolas, a fábricas, a estruturas de distribuição de petróleo... a lista parecia crescer todos os dias.

A conjuntura aproximava‑se, para muitos, do apocalipse digital, e a conclusão parecia óbvia: se os grandes caem, o mesmo poderá acontecer ao cidadão comum. Lino Santos explicava, porém, que a novidade não era tanto o número destes ataques, tão‑pouco a sua sofisticação, todos eles correspondendo a ransomware, ou seja, à encriptação de dados com a exigência de um resgate para a sua devolução. O elemento novo era o apetite por alvos mediáticos. Ensino, comunicação social, telecomunicações e serviços de saúde foram afetados. O coordenador do Centro Nacional de Cibersegurança procurava, ainda assim, o copo meio cheio. Incidentes desta natureza alertam de forma evidente para a importância da cibersegurança, uma preocupação de que, na sua opinião, temos carência, tanto simples cidadãos, quanto gestores e decisores.

Olhando para uma realidade em mutação, logo em novembro de 2021, o legislador entendeu robustecer a lei do cibercrime. Por via desta lei, o direito nacional foi adaptado à Convenção sobre Cibercrime, do Conselho da Europa. Em consequência das novidades, muitos comportamentos configuram agora crimes informáticos. Significa que o roubo de dados, as fraudes e a sabotagem – por exemplo – não têm de ficar por isso mesmo: sem culpa nem castigo. A prova é sempre a mais bicuda das questões, mas não é impossível, e algumas ações da Polícia Judiciária demonstram-no.

Nova lei do cibercrime pune amplo leque de situações

“Comete o crime de acesso ilegítimo o inspetor tributário que, por motivos estritamente pessoais, acede ao sistema informático da Autoridade Tributária, consultando declarações de IRS de outrem”, declarava um acórdão do Tribunal da Relação de Coimbra a 17 de fevereiro de 2016. O acesso ilegítimo é um dos crimes previstos na lei do cibercrime. Há bastantes mais, alguns sobretudo relacionados com o crime organizado. Neste caso, a lei pretende punir, entre outros, a contrafação de cartões ou dispositivos de pagamento e o seu uso. Tão-pouco esquece as atividades logísticas relacionadas com a contrafação, como a compra, a importação ou a distribuição do equipamento destinado a falsificar os cartões ou os dispositivos de pagamento.

Deixando o crime organizado de lado, a seguir, destacam-se seis situações que podem interessar mais aos cidadãos em geral.

Falsidade informática

Consiste na adulteração de registos informáticos para produzir dados ou documentos falsos. Com as devidas distâncias, é comparável à tradicional falsificação de documentos.

Exemplo: o phishing enquadra‑se neste tipo de crime (por exemplo, criar uma página idêntica a sites legítimos, como os de bancos ou lojas de vestuário, para induzir as vítimas em erro e aceder a contas ou cartões bancários).

Penas: prisão até cinco anos ou multa de 120 a 600 dias. Se houver interferência sobre dados relativos a um dispositivo que permita o acesso a sistemas de comunicação, a pena é de um a cinco anos de prisão.

Dano relativo a programas ou outros dados informáticos

É o cometido por quem apagar, alterar, destruir (ainda que só em parte), danificar, suprimir ou tornar não utilizáveis ou inacessíveis registos informáticos. A tentativa é também punível. Está ainda abrangido quem produzir, vender, disseminar, ou introduzir num ou mais sistemas informáticos, dispositivos, programas ou outros.

Exemplo: propagar programas para formatar um disco, ou alterar sites para prejudicar alguém.

Penas: prisão até três anos ou multa. Dano entre 5100 e 20 400 euros: prisão até cinco anos e multa até 600 dias. Dano superior: prisão de um a dez anos.

Sabotagem informática

Aplica‑se a quem, de forma grave, interrompe, impede ou perturba um sistema, ao introduzir, transmitir, deteriorar, danificar, alterar, apagar, impedir o acesso ou suprimir registos informáticos. Abrange ainda quem produz, vende, dissemina ou introduz num sistema, dispositivos, programas ou outros.

Exemplo: enviar vírus informáticos para perturbar, com gravidade, um sistema informático.

Penas: prisão até cinco anos ou multa até 600 dias. Dano de 5100 a 20 400 euros: prisão de um a cinco anos. Dano superior ou destinado a atingir um sistema crítico (segurança, saúde, etc.): prisão de um a dez anos.

Acesso ilegítimo

Refere‑se a quem acede a um sistema de forma ilegítima. Está ainda incluído quem produz, vende, dissemina ou introduz num sistema, dispositivos, programas ou outros.

Exemplo: acesso não autorizado a uma rede social, ao e‑mail ou a um serviço contratado pela vítima.

Penas: prisão até um ano ou multa até 120 dias. Para obter dados de cartão: prisão até dois anos ou multa até 240 dias. Com quebra de segurança: prisão até três anos ou multa. Por uso de dados confidenciais, quebra de segredo comercial ou industrial ou face a um ganho acima de 20 400 euros: prisão de um a cinco anos.

Interceção ilegítima

Comete o crime de interceção ilegítima quem, com recurso a meios técnicos, intercetar a transmissão de dados, recebidos ou enviados, no contexto de um sistema informático.

Exemplo: aceder ao conteúdo de comunicações informáticas de um terceiro enquanto estas se desenrolam (por exemplo, através de uma videochamada no WhatsApp).

Penas: prisão até três anos ou multa.

Reprodução ilegítima de programa protegido

Trata‑se do crime praticado por quem, ilegitimamente, se dedica a reproduzir, divulgar ou comunicar ao público um programa protegido pela lei.

Exemplo: copiar e distribuir software na internet sem permissão para tal.

Penas: prisão até três anos ou multa.

Como denunciar um cibercrime na Polícia Judiciária

Alguns cibercrimes vêm entrelaçados. Por exemplo, quem desfere um ato de sabotagem pode ser acusado de um segundo crime: o acesso ilegítimo. Ou de um terceiro: dano relativo a programas ou outros dados informáticos. De um quarto: falsidade informática. Ou até de outros. Tudo depende, claro está, da natureza da sabotagem.

Há cibercrimes que, de tão graves, são considerados crimes públicos, dispensando queixa para que as autoridades lhes deem andamento. A sabotagem inscreve‑se neste âmbito, já que pode afetar áreas críticas, como redes de abastecimento de energia, água ou gás, ou serviços de emergência médica. As penas são aplicadas consoante o prejuízo causado pelo cibercrime. Mas, no caso de sabotagem com disrupção dos serviços críticos, não importa o valor do dano: a pena é de prisão, e pode ir de um a dez anos.

A culpa informática não tem, assim, de morrer solteira. Se for vítima de um ataque, faça queixa à Polícia Judiciária através do formulário próprio, e sobretudo não pague resgates para reaver dados. As autoridades desincentivam‑no, porque o pagamento pode entusiasmar novos ataques. Pode inclusive suscitar suspeitas de financiamento de terrorismo ou de grupos criminosos em geral. Deixe, portanto, o caso às autoridades.

Medidas para evitar o phishing

Se é certo e sabido que não há sistemas informáticos 100% seguros, algumas medidas podem reduzir drasticamente os riscos. O phishing é um dos esquemas preferidos dos cibercriminosos, e o seu veículo principal é o correio eletrónico. Não é incomum recebermos e‑mails que nada mais são do que tentativas de ataque.

A primeira dica para evitar o tropeço na armadilha é estar atento ao remetente. As instituições do Estado ou as grandes empresas não usam contas de e‑mail do Gmail, do Hotmail, do Outlook ou do Yahoo. Logo, suspeite de mensagens supostamente remetidas pela Autoridade Tributária, se o domínio for, por exemplo, o Hotmail: o mais provável é ser fraude. A parte local do endereço, ou seja, aquela que vem antes do símbolo @, também pode fornecer pistas. Sendo composta por carateres aleatórios, as hipóteses de fraude são elevadas.

Detenha‑se ainda no corpo do e‑mail. Diz que ganhou um prémio no âmbito de um concurso a que nem sequer concorreu? Desconfie. É‑lhe pedido que clique urgentemente num link ou que abra um anexo para receber o prémio? Desconfie de novo. A estratégia de enviar ficheiros que contêm hiperligações para endereços maliciosos é conhecida. O objetivo pode ser capturar dados pessoais ou instalar programas que comprometem a segurança do computador ou do telemóvel.

Desconfie mais, se o texto ostentar erros gramaticais ou sintaxe macarrónica. Pode ser uma tradução automática de um texto em língua estrangeira. Os organismos oficiais e as grandes empresas oferecem redação cuidada. Os erros ortográficos numa mensagem oficial são, por isso, pouco prováveis.

Outra forma de defender‑se é verificar os links. A ferramenta Este site é seguro?, desenvolvida pela DECO PROTESTE, fornece um veredicto.

O uso de um bom antivírus também contribui para bloquear o phishing. Mas não basta. Ao lote de medidas de prevenção, junte cuidado redobrado em pagamentos online. Por exemplo, verifique se o site de compras tem encriptação e recorre a meios de pagamento seguros.

Opte por passwords seguras e autenticação multifatorial

Dedique ainda especial atenção às passwords das suas contas. Altere as combinações que vêm de origem com os equipamentos, evitando a inclusão de informações pessoais, como datas de nascimento. A regra é optar por sequências longas e complexas, com algarismos e carateres especiais. A maioria dos ataques é perpetrada por máquinas que testam as várias combinações possíveis, pelo que o tamanho e a complexidade contam. Cada caráter a mais, sobretudo se for especial, aumenta a força da password. Se lhe falta capacidade de memorização, os programas que geram passwords robustas, e as guardam, podem ser uma opção.

Mesmo assim, não pense estar a salvo só com a palavra‑passe. Se possível, recorra à autenticação multifatorial. Por exemplo, um código enviado para o telemóvel pode fazer dupla com a password. Se o seguro morreu de velho, o desconfiado ainda cá anda.