Legislando sobre crimes digitais

http://www.pedro.jmrezende.com.br/sd.htm > Lei e informática: Debates

Legislando sobre crimes digitais

Publicado no caderno Opinião do jornal O Popular - GO
(12/11/06 parte I, 27/11/06 parte II)

Pedro Antônio Dourado de Rezende *
10 de Novembro de 2006
[também em pdf]

Parte I
O senador Eduardo Azeredo (PSDB-MG) tem defendido sua proposta de substitutivo a projeto de lei sobre crimes digitais rebatendo críticos. Qualificando-os de anarquistas (no Correio Braziliense, em 8/11/06), ou, a uma “boa parte” deles, de desinformados (no InfoNews). O tema merece melhor debate.

Desqualificando-me dessas rebatidas, cito de início o § único do art. 21º do seu substitutivo:

"A identificação do usuário de rede de computadores poderá ser definida nos termos de regulamento, sendo obrigatórios para a pessoa natural os dados de identificador de acesso, senha ou similar, nome completo, data de nascimento, um número de documento hábil e legal de identidade e endereço completo,"

donde, naturalmente, surgem dúvidas. Quem fará o regulamento? Quem poderá definir quem faz o regulamento? Quem definirá o que é “identificação do usuário”? Com base em quais critérios?

Na falta de respostas, cabe lembrar que esse dispositivo só surgiu em versões recentes da sua proposta. Em versões anteriores, em vez de “ou similar” (à senha obrigatória) havia opção pelo uso de certificado digital da ICP-BR. Opção que, por sua vez, tinha um detalhe interessante: imunidade contra novos crimes, ali tipificados, ao provedor que a impusesse a seus usuários.

Essa opção desapareceu, mas não porque consultores do Senado a condenassem em parecer técnico. A versão consoante ao parecer, preparada pelos especialistas de carreira escalados para aconselhá-lo nessa relatoria, ele descartou momentos antes da votação sobre o mérito, na comissão de Educação, Ciência e Tecnologia do Senado em 23.05.06.

Mantida naquela votação, a opção pelo método “certificados ICP-BR, com vantagens a quem o impuser” só foi substituída, no atual artigo 21º, pelo método “similar, a ser definida”, em versão posterior, depois que certas críticas ganharam visibilidade.

Críticas assentes na natureza daquela opção, no modo estranho de se analisar o seu mérito, no seletivo e reduzido acesso às cambiantes versões (exceto à atual), nos intrigantes precedentes em outras tramitações sob tutela do senador, já notório pela criatividade com mirabolâncias contábeis de campanha², que deixaram, com o perdão da palavra, uma digital impressão de lobby de quem faz comércio com certificados digitais.

Neste cenário, cabe indagar se “termos de regulamento” ressuscitarão aquela opção. Cabe indagar quem, no caso, ficará exposto às novas imputabilidades criminais, com o uso de certificados ICP-BR. Análise e opinião a respeito já ofereci, por solicitação, à autarquia responsável pela ICP-BR (ITI).

Se aquela opção ressurgir das cinzas, a afronta à privacidade de usuários obrigados a aceitá-la será devastadora. Como representante da sociedade civil no Comitê Gestor da ICP-BR, relatei sobre esse tipo de “risco legislativo” no I Fórum de Certificação Digital, promovido pelo ITI em 2003.

Quanto à privacidade, o senador alega ao InfoNews: "Não queremos o registro sobre quais sites o usuário visitou. Nosso projeto não fala sobre conteúdos, não desrespeita a privacidade do usuário". Provedores não são hoje obrigados a manterem cadastro nos moldes propostos, e ele diz: "os grandes provedores já fazem isso, mas só se quiserem. Nós queremos que todos adotem esta prática".

Não será apenas pela obrigação cadastral, cujo impacto ele despreza, que sua proposta desrespeita a privacidade. Como é comum ao se legislar sobre informática, haverá efeitos colaterais. O senador não pode, por exemplo, querer que todos os provedores no ciberespaço a adotem.

Lá fora, ou no Brasil, provedores têm hoje meios de quebrar, além dos dados cadastrais, a privacidade de seus usuários colhendo e vazando informações, até onde permita a cautela destes. Por outro lado, ao provedor leniente na identificação de usuários também faltam incentivos para essa quebra. Tampouco os atrai, pois as informações colhidas teriam, salvo exceções pontuais, pouco valor no mercado da espionagem, oficial ou paralela, e no comércio de informações privilegiadas, devido à pouca confiabilidade para cruzamentos, via dados cadastrais, com outras informações.

Assim, um dos efeitos colaterais será o aumento desse valor. E esse aumento produzirá, no lado escuro do capitalismo, estímulo para a quebra de privacidade. Pelo provedor ou por funcionários ladinos, já que demanda, pelo que se vê em noticiários, não falta. Sem falar do apetite totalitarista que esse valor desperta, no Estado e no mercado, como mostra a galopante grampeagem audiovisual, anabolizado pelo inciso IV do art. 22º¹

Se aprovada, o risco à privacidade dos usuários aumentaria, portanto, em razão inversa ao empenho e despesas com segurança, dos provedores jurisdicionados. Se esse empenho lhes for imposto "nos termos de regulamento", a mera manutenção desse risco em níveis atuais implicará, com a valorização das informações traficáveis, em aumento no preço médio dos seus serviços, para absorver o custo adicional com segurança. Isso esvazia o argumento de que a proposta não afeta a inclusão digital.

Pelo que, duas rebatidas do senador são incompatíveis. Ou a privacidade, ou a inclusão digital, ou ambas seriam negativamente afetadas. Cabe indagar, então, se vale a pena. Talvez sim, se a proposta beneficiar mais, no combate ao cibercrime, o lado certo. Mas qual lado se beneficiaria mais?

Parte II

O senador tem dito não acreditar que sua proposta empurre usuários para provedores e serviços sediados fora do Brasil, como forma de escapar à legislação nacional. Talvez não empurre para escapar da Lei, mas sim do rastreamento. Especialmente a quem ler, e entender, o que estiver escrito no§ 4º do art. 154-A do Código Penal, hoje art. 6º do seu substitutivo.

Ali se imputa culpa, por acesso indevido através de conexão via rede de computadores, dispositivo de comunicação ou sistema informático, incluindo-se "programa de computador ou qualquer outro sistema capaz de processar, capturar, armazenar ou transmitir dados eletrônica ou digitalmente ou de forma equivalente." (art. 339-C do CP)

Para um leigo em Direito, mas nem tanto em segurança na informática e em teoria realista do Direito, isso significa que, sob tal regime, qualquer usuário cadastrado em um provedor sediado no Brasil estará sujeito a pena de seis meses a um ano de reclusão, e multa, por qualquer acesso indevido que um vírus, um programa malicioso ou espião venha a fazer, a partir do computador que ele estiver usando, enquanto o estiver usando.

E não se iluda quem pensar que a condenação só viria se o programa que acessou indevidamente tenha com isso causado dano a terceiros. O crime é de mera conduta: basta que o programa pratique "acesso indevido", independente do resultado, mesmo sem seu conhecimento, para que seja enquadrado. Em crime cuja autoria será rastreável a você, graças à identificação positiva que seu provedor jurisdicionado fornecerá à polícia, se solicitado, ou mesmo por bisbilhotice¹.

Com respeito à negligência para condenação culposa, tem-se que, se tal conduta ocorrer pelo uso do sistema hoje instalado em metade dos computadores (Windows XP), com atualização automática o usuário assume, deliberadamente, pelos termos das licenças de programas ali instalados, os riscos decorrentes de acessos programados por terceiros, sem o seu conhecimento e a partir do seu computador, a sistemas desconhecidos.

Mas então, como saber se uma conexão feita por um programa, à revelia do usuário, acessa devida ou indevidamente alhures? Que diabos constitui um acesso indevido? Se for "não autorizado", por quem? Baseado em quê? Como a autorização é informada? E se não o for? A razão presumida para algo “estar na internet”, não seria a de poder ser acessado?

A definição do tipo penal “acesso indevido” é aberta. Não está em lei, nem nesse substitutivo, nem por ele delegada a "termos do regulamento", que a proposta "define" sem definir. Mas funciona como uma cunha afiada para controle político do ciberespaço.

Um juiz poderá acatar a definição que lhe convier. Poderá se ver forçado a acatar alguma, dentre as quais a da suposta vítima, posteriormente ao acesso. “Vítima” que poderá combinar bolsos fundos com escrúpulos rasos. Pode-se especular, por exemplo, o status do acesso se o usuário estiver “apenas usando” software não licenciado. Amir Sader que se cuide.

Salomônico ou não, cabe indagar como reagiriam a esse regime os usuários imbuídos de intenção criminosa. Será que vão fornecer dados verdadeiros a um provedor no Brasil, para serem identificados positivamente quando suas conexões forem rastreadas? Ou será que vão fugir das novas imputabilidades criminais buscando provedor fora do Brasil, que não os rastreie?

E os imbuídos de intenção sã? Será que só malvados e paranóicos iriam evadir rastreamento? E os que não engolem a pílula azul de Matrix? Será que também não, uma vez acessados (devidamente, espero) conhecimentos sobre riscos, desequilíbrios e efeitos nefastos que um tal regime induz? É claro que o senador tem direito e inteligência para crer no que quiser, mas a comparação seguinte pode ajudar.

Se um cracker invade o sistema de um usuário inocente, cujo provedor está no Brasil, e dali ataca alhures praticando crime, como ocorre cada vez mais na internet, uma investigação competente não se encerra com o rastreamento desse usuário. Ainda, se o cracker vacilar deixando rastro, pelo qual seu acesso ao sistema do usuário é rastreado, o provedor do cracker pode se negar a confirmar a conexão e a fornecer sua identidade, como tem feito a Google Inc. (em casos de pedofilia no Orkut), noutra jurisdição impunemente. O usuário vai espernear se indiciado, pois sua identificação, como autor do tal crime, não seria positiva.

Doutra feita, no mesmo cenário mas no regime proposto, a investigação poderá acabar mais cedo. Haverá identificação positiva, do usuário que supõe a si inocente, mas que estaria enquadrado noutro crime, de acesso indevido culposo. Se não, enquadrado estaria o seu provedor (no Brasil), por não identificar a “origem” do ataque. Um processo judicial já pode ser instaurado, com ou sem esperneio do indiciado: se inocente, não o será por negligência. O investigador e o cracker se despreocuparão: missão cumprida, mãos à próxima. Isso se chamará “alta produtividade”, também de advogados.

Se cadastro resolvesse problemas de cibercrime, seria fácil banir celular de prisão e rastrear dinheiro sujo: responsabilizando-se operadoras e bancos. Se responsabilizar prestador resolve, então que continuem os bancos arcando com perdas por fraude em seus sistemas informáticos: elas já estão diluídas nas taxas de seus serviços, sem impacto visível nos lucros, cada vez mais abusivos.

Sem entender as razões pelas quais a proposta do senador produziria apenas os efeitos que alardeia, resta-me examinar rebatidas doutra ordem. A de que “a União Européia já aprovou projeto similar”, e a de que “a tendência é que o mundo todo passe por um processo de maior controle da internet”.

Sobre a primeira, o senador talvez se refira à convenção de Budapeste, realizada no âmbito da União Européia, cuja adesão é voluntária, e a convite. A Estônia e a Lituânia aderiram, a Alemanha não ratificou. E lá, um tribunal acaba de obrigar um provedor a deletar dados sobre usuários, para preservar-lhes a privacidade. O Brasil, busca companhias no ciberespaço.

Com projetos similares? As recomendações de Budapeste incluem a imputabilidade penal por “acesso ilegal”; contudo, “acesso ilegal” é definido pela Lei, e “acesso indevido” o é em novilíngua. Entre os dois tipos, cabe toda a teoria realista do Direito. Desde Trasímaco, na República de Platão, até a mais avançada das tecnologias. Cabe, por fim, indagar: se os pretensos donos do mundo querem fazê-lo atravessar um tal processo, por que cargas d'água o Brasil deveria ser boi-de-piranha? Por que não um projeto de lei menos pirotécnico?

Referências

1- O inciso IV do art. 22 determina que provedores têm de vigiar seus clientes. O texto diz que a empresa precisará "informar, de maneira sigilosa, à autoridade competente (...) fato do qual tenha tomado conhecimento e que contenha indícios de conduta delituosa na rede de computadores sob sua responsabilidade".

2- Em 15 de março de 2007 a Folha de São Paulo noticiou (acesso web restrito) que o autor do substitutivo dos projetos de lei sobre crime digital tramitando no Senado, Eduardo Azeredo (PSDB-MG), teria sido citado em inquérito da Polícia Federal cujo objeto era a investigação de denúncias sobre a origem ao chamado Valerioduto, no caixa 2 da campanha do então candidato a reeleição para o governo de Minas Gerais em 1998. Segundo a Folha, a conclusão do inquérito teria constatado a prática de peculato e lavagem de dinheiro, mas os delegados teriam optado por não sugerir o indiciamento de nenhum dos investigados.

Autor

* Pedro Antônio Dourado de Rezende é matemático, professor de Ciência da Computação na Universidade de Brasília (UnB), Coordenador do Programa de Extensão em Criptografia e Segurança Computacional da UnB, ex-representante da sociedade civil no Comitê Gestor da Infra-estrutura de Chaves Públicas brasileira (ICP-BR). www.pedro.jmrezende.com.br/sd.htm

Direitos autorais:
Pedro Antônio Dourado de Rezende publica este artigo sob licença Creative Commons (CC NC-ND-2.0): Livre para republicações com Atribuição, uso Não Comercial e Não Derivável. (outras republicações requerem autorização expressa) Texto da licença em: http://creativecommons.org/licenses/by-nc-nd/2.0/deed.pt

Histórico deste documento

v.1 05.01.07 - Submetido, a pedido, para publicação no portal do Partido dos Trabalhadores
publicado em 23.01.07 em http://www.pt.org.br/site/artigos/artigos_int.asp?cod=1319. Publicado no portal do Autor com Apêndice.

v.2 18.03.07 - Atualizado com referência 2, sobre matéria publicada pela Folha de São Paulo em 15.03.07

Apêndices
1- Carta aberta ao Senador Azeredo
Autor: J. C. Melo
A Sua Excelencia
Senador Eduardo Azeredo
Senado Federal
Brasilia - D.F.
 
Excelência,

Lao-Tse disse, 560 anos antes de Cristo:

"À medida que restrições e proibições se multiplicam no Império, o povo fica cada vez mais pobre... Quando o povo é sujeito a governança excessiva, o pais descamba na confusão. Quanto mais leis e regulamentos existam, maior o numero de prevaricadores e ladrões... Se o Governo é intrusivo e detalhista, haverá constante infração da Lei... Deve-se governar uma grande nação como se cozinha um pequeno peixe. Sem exagero."

Data vênia eu acrescentaria a esses antigos ensinamentos de Lao-Tse mais um similar, pois hoje em todo o mundo existe uma unanimidade sobre a causa do grande sucesso da Internet, ou seja a sua total e absoluta liberdade de acesso.

Com meus 75 anos de idade sendo 56 sem interrupção na informática, eu tenho uma vaidosa porem natural tendência de achar que conheço de tudo nessa área. Mas a vida sempre e continuadamente me prova que eu estou errado, com o continuo surgimento de novas iniciativas informáticas realmente profundas e pioneiras.

Agora mesmo Vossa Excelência mais uma vez provou o quanto eu sou pequeno, com o Vosso brilhante projeto de Lei para identificar qualquer usuário da Internet com

- Carteira de Identidade, CPF, Residência, Telefone, etc., e isso tudo obrigatoriamente verificado/policiado pelos provedores de acessos.

Brilhante. Genial. E como geralmente acontece nos constantes avanços da Humanidade, muitos mitos automaticamente desmoronaram:

Mais uma vez passamos a frente de paises como a China e a Coréia do Norte e outros poucos, com os seus primários sistemas de censura para esse setor, pois ao contrário deles fomos direto ao cerne da questão: exigir uma identificação total.

Mais uma vez passamos os Estados Unidos. Pois o que esta sendo atualmente discutido no Senado norte-americano (a popularmente chamada Net Neutrality) conceitualmente é exatamente o inverso do brilhante projeto de Vossa Excelência. A sua liberdade não é questionada, pois discute-se apenas se será mantida apenas uma Internet gratuita para todo o mundo como ate agora (como deseja o mundo informático) ou se teremos duas ou seja uma segunda com custos de acessos e bandas largas e muito largas (como desejam as companhias de comunicações).

Também o brilhante projeto de Vossa Excelência destrói outro velho e conhecido mito norte-americano, o de que a liberdade nos procedimentos junto com a sua resultante preservação das liberdades individuais foi um dos pilares que permitiram a construção dessa maior potência econômica/industrial/militar do mundo.

Também o brilhante projeto de Vossa Excelência destrói o mito técnico que eu e meus colegas com as mesmas experiências tínhamos sobre a teórica impossibilidade de identificação de um internauta se ele usar alguns dos vários métodos de acessos anônimos (como os servers anônimos). Fomos tão idiotas que não percebíamos o que Vossa Excelência finalmente nos ensinou, que sempre é  possível identificar uma origem na Internet através do seu endereço IP. Também pudera, por causa dos nossos "profundos" conhecimentos técnicos (meus colegas e eu vamos classificar esse périodo antérior como "pre-Azeredo") julgávamos ter aprendido que dependendo do tipo de acesso utilizado um internauta criminoso poderia ter a sua origem indetectável, mas felizmente ainda tivemos tempo para re-aprendermos, através do brilhante projeto de Vossa Excelência, o quanto estávamos errados tecnicamente . Aliás, Excelência, também fomos induzidos a esse erro por um caso correlato mais ou menos recente, que aconteceu na Alemanha: Alguns internautas fizeram vários servers anônimos e gratuitos porem o caso subiu ate a sua corte suprema de justiça, a qual decidiu que eles não eram ilegais e portanto funcionam até hoje. Porem, como bem sugere/demonstra o brilhante projeto de Vossa Excelência, eles "acham" que funcionam.

Também tivemos que abandonar mais um mito técnico, o de que uma Virtualization bem programada evita uma invasão em qualquer sistema e isso em termos absolutos. Aliás, com o brilhante projeto de Vossa Excelência ficamos sem compreender por que o Presidente Bush, ha poucos meses, enviou uma carta de "determinação presidencial" a todas as repartições federais (e uma sua correspondente sugestão ãos Estados e Municípios) obrigando-as a passarem todos os seus processamentos para uma Virtualization no sentido de impossibilitar invasões nos seus sistemas informáticos. E como todos os meus atuais 12 computadores estão em Virtualization e por causa de vosso brilhante projeto, terei que repensar essa minha agora demonstrada equivocada decisão técnica, e pior ainda, nos meus cursos MBAs um deles é sobre a Virtualization (MBA of Computer Virtualization Management) e agora eu terei que reescreve-lo para dele excluir os errados ensinamentos sobre a impossibilidade técnica de uma invasão e deixando somente as outras vantagens das VMs.

Também ficamos pasmos ao descobrirmos, através de Vosso brilhante projeto, que era uma total inverdade que se esse Vosso projeto fosse aprovado nos poderíamos passar a usar provedores de acessos em outros paises. A própria existência do Vosso brilhante projeto nos prova que isso será impossível.

Fiquei tão entusiasmado com o brilhante projeto de Vossa Excelência que sugeri a amigos brasileiros criarmos imediatamente uma empresa brasileira de autenticação para a Internet, copiando as necessidades do Bradesco nesse setor. Sempre "achávamos" que o problema da identificação era um problema interno exclusivo do Bradesco, aliás  também que ele não o enfrentava com as novas ferramentas absolutas como a Virtualization, como poderia fazê-lo se o quisesse e se fosse tecnicamente capaz. Mas novamente estávamos errados ao acreditarmos em mais um mito técnico, e novamente isso descobrimos graças ao brilhante projeto de Vossa Excelência. A propósito, como sabemos que a Scopus (a industria de informática do Bradesco) contribuiu com R$ 150.000,00 para a Vossa campanha eleitoral, apos um pequeno período de faturamento da nossa nova empresa com muita satisfação iremos fazer o mesmo.

E também por uma questão de justiça, desejo declarar que absolutamente não concordamos com o que uma pequena parte da sociedade informática brasileira desrespeitosa e equivocadamente diz sobre os inegáveis conhecimentos técnicos de Vossa Excelência na área da informática, pois eu e os meus colegas raramente vimos nessa área alguém que tão bem a representasse no Congresso, com o que também concordaram os Vossos pares do Senado ao acertadamente escolherem Vossa Excelência como o seu speaker informático.

Aliás, não é de hoje que conhecemos Vossas brilhantes iniciativas na área da informática. Ha poucos anos tivemos outro brilhante exemplo, quando altas horas da noite e com apenas 15 votos Vossa Excelência aprovou um projeto de Lei bloqueando quaisquer questionamentos jurídicos sobre a urna eletrônica do TSE. Foi mais um balde de água gelada, pois eu e meus colegas erradamente julgávamos que alguém com acesso ao sistema operacional da urna (o Windows CE) pudesse facilmente reprogramá-lo para fraudulentamente eleger alguém fosse nos Municípios, nos Estados ou a nível nacional. Antes desse brilhante projeto de Vossa Excelência, eu e meus colegas erradamente pensávamos que em somente uns 10-15 dias esse alguém poderia modificar alguns .dlls do CE (e adicionalmente deixar essas modificações absolutamente indetectáveis) e eleger quem desejasse e em qualquer nível, inclusive acompanhando as pesquisas de opinião para não despertar suspeitas, também criando votos aleatórios e randômicos verticais e horizontais com o mesmo objetivo, etc e etc. 

Evidentemente eu não tenho esse acesso técnico mas umas 15 pessoas o tem, uns 5 na origem na Microsoft, uns 5 na intermediação no fabricante Diebold, e uns 5 no destino no TSE. Ledo engano, novamente Vossa Excelência nos surpreendeu e provou o quanto somos pequenos, nos provou o quanto Vossa Excelência foi genial ao bloquear quaisquer questionamentos jurídicos exatamente para evitar que esse nosso desconhecimento técnico "desnudasse" a urna eletrônica do TSE, conceitual e formalmente nos garantindo o quanto a nossa urna eletrônica é perfeita, intocável, infraudável, etc., portanto absolutamente imerecedora de tais amorais e agora ilegais questionamentos. Isso, Excelência, insofismavelmente se chama genialidade. Alguns poucos, pejorativamente talvez por inveja, dizem que foi por outra razão, mas a Historia nos mostra sobejamente quantas injustiças similares ocorreram ate hoje.

Resumindo, Excelência, e falando somente sobre dois dos seus aspectos técnicos e olvidando os seus outros aspectos sociais e políticos, o brilhante projeto de Vossa Excelência nos obrigou a uma grande revisão das nossas experiências técnicas, pois ate então acreditávamos nas

1. impossibilidade de sempre se conseguir identificar a origem de um procedimento criminoso na Internet através do seu endereço IP (Vossa Excelência isso demonstrou como uma possibilidade e não como uma impossibilidade, pois ela é o core, o leitmovit do Vosso projeto),

2. possibilidade de se construir um sistema de informática 100% imune as criminosas invasões (Vossa Excelência isso demonstrou como uma impossibilidade e não como uma possibilidade, pois esse é um outro leitmovit do Vosso projeto).

Em ambos esses casos, tecnicamente, acreditávamos e aprendemos e experimentamos exatamente como descrito acima, razão pela qual muito agradecemos a Vossa Excelência os novos ensinamentos técnicos embutidos nesse tão brilhante projeto de Lei.

Vossa Excelência e por extensão o próprio Congresso que conta com tão grande speaker informático, estão de parabéns. E também o Brasil, pois o Vosso brilhante projeto de Lei é único em todo o mundo, demonstrando o quanto todas as outras Nações estão erradas ao trilharem exatamente a direção oposta. Mas infelizmente esse Vosso brilhante projeto de Lei não terá a sua merecida consagração mundial, pois muitos dos atuais 1 Bilhão de internautas que disso não necessitam externarão equivocadas frases tais como "Você sabia que no Brasil eles exigem identificação de fato para surfar na Web?". Somente o inexorável tempo da Historia o consagrará e por extensão o país que tem a honra de ter tão brilhante filho.

Com meus respeitos e adicionalmente desejando que Vossa Excelência futuramente recoloque a Vossa reputação no seu merecido lugar livrando-se na Justiça da atual injustificável (e certamente forjada) denúncia formal no caso do chamado "mensalão" ou equivalente,

Respeitosamente,

J.C.Melo
 
PS. - Autorizo aos meus amigos, se o desejarem, a re-enviarem este e-mail a todos os interessados, forums, blogs, etc., para conhecimento geral sobre esses novos ensinamentos tecnicos da nossa area de atuacao. Reproducao autorizada.