Crimes Digitais, a Omissão das Operadoras de Telefonia Móvel e a Impunidade

Conforme o disposto no Marco Civil da Internet (Lei nº 12.965/14), qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet, em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.

Do mesmo modo, os provedores de telefonia móvel são responsáveis pela guarda dos chamados registros de conexão, sendo eles o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados.

Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e com segurança, pelo prazo de 1 (um) ano, nos termos do Marco Civil da Internet. De outra ordem, não se impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.

Como previsto no Marco Civil da Internet:

Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.

1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º.

A prática de inúmeros crimes cibernéticos vem sendo estimulada por condutas negligentes das operadoras de telefonia móvel. O golpe da clonagem de Chip, o “sim swap” figurou como um dos principais golpes de 2018 a 2020 e, nitidamente, reflete a falha das operadoras de telefonia em checar a autenticidade de pessoas que solicitam trocas de chips, a partir de dados coletados de clientes. 

O resultado são inúmeros processos movimentando o Poder Judiciário, sendo que muitos responsabilizam as operadoras por não adotarem os critérios de segurança para avaliar a integridade de uma solicitação. 

Mas não é só neste fato que as operadoras vêm protagonizando condutas impensadas e que prejudicam cidadãos e vítimas de crimes digitais. Como se sabe, o cadastramento de chips pré-pagos é obrigatório no Brasil, considerando que, do contrário, seriam usados (como foram) por pessoas má intencionadas para acesso à rede e prática de crimes, sem que fossem identificadas.

O Judiciário já entende que a não adoção de procedimentos para verificação do cadastro de quem solicita um plano ou chip pode responsabilizar o provedor de telefonia. 

Igualmente, encontramos decisões que condenam as operadoras por não apresentarem dados cadastrais, ligados a um número telefônico, permitindo que um criminoso cibernético jamais seja identificado.

     Sobre o tema, cumpre colacionar as seguintes decisões:

EMENTA: JUIZADO ESPECIAL. CONSUMIDOR. TELEFONIA. PRELIMINARES. LEGITIMITADE PASSIVA DO WHATSAPP. ILEGITIMIDADE PASSIVA DA OPERADORA DE TELEFONIA. PRELIMINARES REJEITADAS. CLONAGEM DE LINHA TELEFÔNICA. FALHA NA PRESTAÇÃO DOS SERVIÇOS. DANO MORAL CONFIGURADOS. […] 3. Por outro lado, a empresa de telefonia recorrente se mostra parte legítima para figurar no polo passivo da ação, tendo em vista ser a responsável direta pela disponibilização e manutenção da linha telefônica do recorrido, que foi alvo de clonagem. […] 4. Verifica-se dos documentos juntados aos autos que o autor/recorrido foi vítima de ações de estelionatários, por meio de técnica conhecida como SIM SWAP, que consiste no repasse pela operadora do número de telefone do usuário para um novo chip, que está em posse de criminosos, possibilitando a invasão de aplicativos de trocas de mensagens, internet banking e também acesso a informações privativas. Esta técnica pode ser empregada a partir do fornecimento de dados pessoais do usuário pelo estelionatário para o atendente da operadora, convencendo-o a operar a troca do chip do celular, ou ainda, com a participação de criminosos dentro da própria operadora, com a troca da linha telefônica diretamente nos sistemas da empresa de telecomunicações. 5. Em ambas as hipóteses, está configurada a falha na prestação dos serviços de telefonia celular, uma vez que a fragilidade da segurança da empresa, no caso, possibilitou a ação de criminosos que utilizaram a linha telefônica do autor para enviar mensagens falsas para seus contatos, conforme noticiado em ocorrência policial (ID15838538), gerando danos ao consumidor, o que faz incidir o enunciado no art. 14, § 1º, inciso II, do CDC. 6. A fraude operada gerou aborrecimentos, indignação e angústia que refogem aos meros aborrecimentos do cotidiano, sobretudo diante do descuido com os dados do autor, cujo sigilo violado causou-lhe também prejuízos à sua imagem e honra, já que possibilitou que estelionatário, passando-se pelo autor, enviasse mensagens aos seus familiares, amigos e colegas de trabalho pedindo contribuições financeiras, sob a alegação de estar em dificuldades, fatores esses que caracterizam o dano moral e, consequentemente, o dever de indenizar […]
(TJDFT, Acórdão 1276175, Processo  07292427920198070016, Relatora: SONÍRIA ROCHA CAMPOS D’ASSUNÇÃO, j. 14/8/2020). (g.n.)

EMENTA: RECURSO INOMINADO. AÇÃO DE INDENIZAÇÃO POR DANOS MORAIS E MATERIAIS.  PRELIMINARES DE INCOMPETÊNCIA E DE ILEGITIMIDADE PASSIVA AFASTADAS. SERVIÇOS DE TELECOMUNICAÇÃO. GOLPE DE CLONAGEM DE CHIP. SIM SWAP. ILÍCITO CARACTERIZADO PELA AUSÊNCIA DE SEGURANÇA NO SISTEMA DA OPERADORA. CULPA EXCLUSIVA DE TERCEIRO NÃO VERIFICADA. DANOS MORAIS CONFIGURADOS EM DECORRÊNCIA DA INEFICIÊNCIA DOS SERVIÇOS PRESTADOS PELA TIM. QUANTUM INDENIZATÓRIO ARBITRADO EM R$ 4.000,00 QUE COMPORTA MAJORAÇÃO PARA R$ 8.000,00. RECURSO RECLAMADA CONHECIDO E DESPROVIDO. RECURSO RECLAMANTE CONHECIDO E PROVIDO. (TJPR, Processo 0085357-55.2018.8.16.0014, Relatora: Juíza Manuela Tallão Benke, j. 19/06/2020). (g.n)

EMENTA: APELAÇÃO CÍVEL. AÇÃO INDENIZATÓRIA POR DANOS MATERIAIS E MORAIS, COM PEDIDO DE ANTECIPAÇÃO DE TUTELA. SERVIÇO DE TELEFONIA MÓVEL. FRAUDE. CLONAGEM DE CHIP DO CELULAR DO PRIMEIRO AUTOR, ORA APELADO, QUE PERMITIU O ENVIO DE MENSAGENS PELO FALSÁRIO A AMIGOS E PARENTES DO PROPRIETÁRIO DA LINHA, OPORTUNIDADE EM QUE A SEGUNDA AUTORA FOI LEVADA A DEPOSITAR QUANTIA EM DINHEIRO NA CONTA CORRENTE DO GOLPISTA PENSANDO ESTAR AJUDANDO SEU PRIMO. SENTENÇA DE PROCEDÊNCIA DO PEDIDO EXORDIAL ATACADA POR RECURSO DE APELAÇÃO DA RÉ.

EXTORSÕES FEITAS VIA WHATSAPP QUE SEGUEM UM MÉTODO DENOMINADO SIM SWAP, TÉCNICA QUE CONSISTE EM TRANSFERIR A LINHA DO CHIP DE UM USUÁRIO PARA UM CHIP EM BRANCO. GOLPE QUE FREQUENTEMENTE ENVOLVE UM FUNCIONÁRIO DA OPERADORA QUE TENHA ACESSO AOS SISTEMAS QUE, EM CONLUIO COM O FRAUDADOR, PERMITE A TROCA DA LINHA NO CHIP OU DECORRE DA UTILIZAÇÃO DE DOCUMENTOS FALSOS, QUANDO O FALSÁRIO SE FAZ PASSAR PELO PROPRIETÁRIO DA LINHA E SOLICITA JUNTO À OPERADORA A HABILITAÇÃO DA LINHA DO CONSUMIDOR NO CHIP EM BRANCO. PATENTE A OCORRÊNCIA DE FRAUDE NA HIPÓTESE EM TELA A ENSEJAR A FALHA DA EMPRESA QUE NÃO SE CERCOU DE CUIDADOS PARA EVITAR QUE SITUAÇÕES COMO A NARRADA NOS PRESENTES AUTOS ACONTEÇAM. CLONAGEM DO TELEFONE CELULAR QUE DEMONSTRA A VULNERABILIDADE DO SERVIÇO PRESTADO PELA CONCESSIONÁRIA, SENDO CERTO QUE SEUS RISCOS NÃO PODEM SER TRANSFERIDOS AOS CONSUMIDORES, DEVENDO A EMPRESA ASSUMIR A RESPONSABILIDADE PELAS SUAS CONSEQUÊNCIAS, BEM COMO, OS PREJUÍZOS SOFRIDOS. […]. RECURSO DESPROVIDO (TJRS, Proc. 0068797-30.2017.8.19.0001, Des. AUGUSTO ALVES MOREIRA JUNIOR, j. 28/05/2019) (g.n)

Apesar de o Marco Civil da Internet impor alguns deveres e o Judiciário amadurecer ao tratar da responsabilidade dos provedores de conexão na apuração da autoria, novos desafios surgem diariamente e clamam a atenção de autoridades de aplicação da lei, sob pena de se privilegiar um ambiente anônimo e perigoso. 

As linhas pré-pagas são comercializadas de acordo com a Resolução da Anatel nº 477/07. É sabido que é responsabilidade dos titulares efetuar o cadastramento das linhas pré-pagas. No Brasil, a Lei nº 10.703/2003 estabelece este dever de cadastramento. Ocorre que um criminoso pode se valer de um chip pré-pago ativado, sem qualquer cadastro, por alguns dias, até que a operadora suspenda o número. E isto, infelizmente, vem ocorrendo com frequência. 

É neste lapso que o anonimato pode ser “garantido”. Na chamada lacuna do ciclo de ativação, que pode durar dias. Um apagão na coleta de dados mínimos necessários. Um criminoso digital não precisa de mais de algumas horas para acessar a rede, criar contas em redes sociais e serviços e/ou publicar conteúdos ofensivos. Imagine então, podendo utilizar um chip por 24 horas, sem qualquer cadastro, até que o mesmo seja suspenso ou cancelado?

Desse modo, em inúmeros processos no Judiciário brasileiro, para apuração de titulares de linhas telefônicas, operadoras estão usando justificativa de que “não possuem em seus sistemas os dados cadastrais relacionados à linha telefônica”. Ainda, chegam a afirmar que apresentaram os dados cadastrais que possuíam, ou seja, nada. 

Para determinados casos, crimes e golpes envolvendo o comunicador WhatsApp, mais uma razão para que WhatsAPP INC não ofereça resistência a apresentar os registros de acesso a aplicação de usuários, a partir de números fornecidos em juízo, pois, além dos casos de chips criados em nome de terceiros, pode ocorrer de a operadora de telefonia não ter nenhum dado de cadastro do chip, pela lacuna no ciclo de ativação, sendo os dados do comunicador a única forma para se tentar apurar a autoria de crimes de informática, ataques, ameaças, golpes…

Portanto, embora a manutenção dos registros de acesso a aplicação ou conexão sejam uma obrigação do Marco Civil da Internet, os dados cadastrais das linhas pré-pagas são definidos em Lei Federal, e, muito embora, as operadoras dependam do cadastramento por seus assinantes, não podem permitir linhas ativas anônimas, ainda que por curtos períodos de tempo, o suficiente para a prática cibernética delitiva e sem formas de rastreio. 

O lapso de anonimato no ciclo de ativação de uma linha pré-paga pode incentivar a prática de crimes digitais, impedir a apuração da autoria e, nitidamente, favorecer a impunidade. As operadoras não podem apresentar relatórios em branco, após ordem judicial, dizendo que “apresentaram o que tinham”. 

Anatel, Legislativo e Judiciário precisam atentar para este risco, com urgência, adotando medidas que impeçam que as operadoras acobertam maus usuários, sem qualquer consequência. 

Currículos: 

José Antonio Milagre, Perito especialista em Crimes Cibernéticos, Analista de Sistemas, Diretor da consultoria CyberExperts, Advogado especialista em Direito Digital e Proteção de Dados, Mestre e Doutorando em Ciência da Informação pela UNESP, DPO EXIN, Presidente da Comissão de Direito Digital Regional Vila Prudente da OAB/SP e Membro da Diretoria do Instituto de Defesa do Cidadão na Internet – IDCI Brasil. https://www.direitodigital.adv.br Instagram: @drjosemilagre

Laura Secfém Rodrigues: Graduada em Direito, pelo Centro Universitário de Bauru/SP, mantido pela Instituição Toledo de Ensino (ITE). Pós-graduanda em Direito, Tecnologia e Inovação com ênfase em proteção de dados, no Instituto New Law. Atuação em assessment e planos de adequação para empresas e órgãos públicos do Brasil.

Emily Lucila de Oliveira. Consultora especializada em Privacidade e Proteção de Dados. Gerente de Direito Digital na José Milagre & Associados. Atuação em assessment e planos de adequação para empresas e órgãos públicos do Brasil, Vice-Diretora do IDCI – Instituto de Defesa do Cidadão na Internet, entidade focada na preservação dos direitos dos usuários de internet e titulares de dados pessoais.




FAKE NEWS! Vulnerabilidades do armazenamento da cadeia de contatos dos serviços de mensageria (PL 2630)

O Especialista e Perito em crimes cibernéticos, José Milagre, fala à Folha SP sobre os malefícios da medida e a importância dos provedores na contribuição para identificar os criminosos.

Acompanhe em: https://www1.folha.uol.com.br/poder/2020/07/regra-para-armazenar-cadeia-de-mensagens-do-whatsapp-pode-ser-ineficaz-em-projeto-de-fake-news-no-congresso.shtml?fbclid=IwAR3KjFnigHxi3nmZPjVDwgAiKYfFTj5QpaQdRNQdUqRILfcCR58TJ80TPMY 




Home Office causa aumento de crimes digitais no Brasil

Com a pandemia muitas empresas migraram de seus ambientes corporativos para os chamados Home Office, ou Teletrabalho, no entanto, esta nova realidade trás vulnerabilidade aos dados empresariais que ficam a mercê dos criminosos.

Saiba os detalhes para proteger sua empresa acessando: https://www.gazetasp.com.br/brasil/2020/12/1080963-brasil-sofreu-mais-de-34-bilhoes-de-tentativas-de-ataques-ciberneticos-em-2020.html




Vendas pela internet podem facilitar fraudes na Black Friday; veja como evitar

Você costuma fazer compras pela internet? Sabe como conferir a autenticidade dos sites? Como se proteger para não cair em golpes? O Especialista em Direito Digital e Crimes cibernéticos, José Antonio Milagre, fala sobre os cuidados que devem ser adotados durante as compras e o cenário atrativo para os criminosos durante o período de grandes descontos, como a Black Fryday.

Saiba mais em: https://jovempan.com.br/noticias/brasil/vendas-pela-internet-podem-facilitar-fraudes-na-black-friday-veja-como-evitar.html




Black Friday 2020: Especialista em crimes digitais, José Antonio Milagre, orienta como evitar golpes virtuais e como agir caso tenha sido vítima.

Mais uma BlackFriday se aproxima e com ela o oportunismo de criminosos cibernéticos, que usam de técnicas variadas para aplicação de golpes, explorando muitas vulnerabilidades dos consumidores virtuais, que desatentos, acabam fornecendo dados pessoais ou comprando em páginas falsas, que são criadas apenas pelo período necessário para tirar o dinheiro do consumidor. Esta edição, porém, promete ser maior por conta do isolamento social diante da COVID-19. Segundo a Ebit Nielsen, as vendas devem crescer 27% em comparação com a edição de 2019.

Os criminosos digitais têm criado “lojas iscas”, normalmente hospedadas em servidores no exterior. Do mesmo modo, ocultam os dados do registrante, por meio de registros “domain by proxy”, tudo para dificultar a investigação de quem está por trás do e-commerce “simulado”.

Rapidamente investem em anúncios nos buscadores e outros métodos de impulsionamento, incluindo redes sociais e rapidamente ficam bem ranqueados na rede. A vítima então se depara com o anúncio, normalmente com preço fora do comum. Se não se atentar para elementos visuais da página ou dados de contato da loja, acaba acreditando que está fazendo um bom negócio, e nunca mais verá seu dinheiro.

As lojas falsas, normalmente se valem de depósito bancário ou boletos, que dificultam o cancelamento das compras ou o rastreio do dinheiro. Assim, todo o cuidado é pouco no período de promoções, já que o crime digital brasileiro explora momentos de grande mobilização digital para auferir lucro, lesando pessoas.

O advogado e perito especialista em crimes cibernéticos, José Antonio Milagre, CEO da CyberExperts e Diretor do Instituto de Defesa do Cidadão na Internet (IDCI) apresenta estratégias para se proteger de golpes digitais e dá dicas sobre como agir, caso tenha sido vítima de fraudes e crimes cibernéticos na BlackFriday.

Dez estratégias para que não que seja vítima de golpes digitais na BlackFriday:

1) Cuidado com descontos absurdos. Embora seja Blackfriday, 90% de desconto é algo estranho de se ver. Cuidado, confira a média de preço dos produtos. O criminoso vai usar este gatilho para chamar sua atenção;

2) Avalie a reputação da Loja. Em um universo de aproximadamente 1 milhão de lojas virtuais, muitas delas podem ser “lojas iscas”, criadas para ficar no ar por pouco tempo, fazer centenas de vítimas e desaparecer. Portanto, pesquise se a loja tem “histórico”, comentários, outras compras, etc. O Google está aí para isso;

3) Avalie as formas de pagamento. Desconfie de lojas que só oferecem depósito bancário, boleto ou criptomoedas. Estas modalidades podem dificultar o cancelamento da compra ou a investigação dos destinatários. Opte sempre por meios de pagamento seguros, onde o dinheiro é liberado quando o consumidor declara que recebeu a mercadoria;

4) Busque contatos da loja. Faça contatos prévios com a loja, mas não só por e-mail, busque um contato telefônico, verifique onde está a sede e desconfie de lojas onde o único contato é um telefone celular;

5) Cuidado com ofertas em comunicadores, e-mails e redes sociais. Jamais clique ou acesse lojas virtuais a partir de links, ou ofertas que receber em comunicadores, WhatsApp e redes sociais;

6) Não acesse lojas pelo buscador. Acesse diretamente o site da loja evitando também pesquisar pela loja no buscador. Cuidado com pequenas mudanças no nome do site e avalie se possui certificado digital expedido para o próprio site. Os criminosos digitais podem falsear um link direcionando a vítima para o site errado. Ataque de pishing são muito comuns, com a falsificação de marcas e identidade visual de sites com ofertas de descontos, dentre outras chamadas para pescar consumidores desatentos;

7) Cuidado com códigos enviados para o celular para supostos descontos. Imagine que você recebe uma mensagem que conseguiu um cupom especial para o BlackFriday, mas para que você receba, você precisará informar um código que chegará pelo celular via SMS. Neste exato momento a vítima não ganhou o desconto, mas pode ter permitido a clonagem do WhatsApp ou até mesmo ter o reset de senhas de app’s financeiros realizados com sucesso, dando acesso ao criminoso. Não confie jamais nesta abordagem. Não informe a ninguém códigos que receber pelo celular;

8) Golpes com PIX. Muitos criminosos também poderão explorar este momento envolvendo a novidade, falsear identidade visual de lojas e oferecer produtos com “desconto” para compras com o pix, oferecendo códigos errados ou chaves que direcionarão o pagamento para o fraudador. Muita cautela no uso da nova tecnologia;

9) Desconfie de dados excessivos. Cheque a política de privacidade do site, se conecte a partir de uma conexão segura, avaliando se o site também tem SSL (https) assegurando proteção contra interceptação de dados e jamais forneça dados mais que necessários para a compra, como “senha do cartão” e outros dados. Mantenha sempre seu sistema operacional atualizado, com firewall e anti-malware ativados;

10) Faça provas de tudo. Guarde provas de toda a compra, salve os códigos, registre prints, e-mails recebidos, se necessário registre em vídeo do processo de compra. Todos estes dados podem ser uteis diante de uma fraude ou golpe, onde a perícia digital poderá identificar a autoria dos criminosos.

Avaliar aspectos de legalidade de um site nem sempre é uma tarefa fácil para o consumidor. Embora a Lei Geral de Proteção de Dados já esteja em vigor (LGPD), já esteja em vigor, muitas lojas ainda não estão em conformidade e não são totalmente transparentes em seus processos.

Outra proteção importante, mas não realizada a golpes digitais, é avaliar as chamadas “fraudes” de lojas que sobem o preço para depois baixarem. Para isso sites como buscapé, zoom e baixou agora podem auxiliar, pois, apresentam um histórico do preço.

Buscapé mostra preço do Iphone 11 em 02/11 e 14/11 de R$ 4649,07 por R$ 5383,00

Caso tenha sido vítima de um golpe digital, o especialista, José Antonio Milagre, recomenda: “Imediatamente resgate todos os dados da compra, registre um boletim de ocorrência online e procure um especialista em direito digital e crimes cibernéticos para que se incie um processo de apuração da autoria e responsabilização dos criminosos. Em casos de clonagem do chip, pode-se buscar a reparação em face da operadora de telefonia móvel.”

 Do mesmo modo é muito importante contactar o banco com informações sobre a fraude e notificar a loja que eventualmente teve a marca usada para a fraude, para se buscar uma resolução amigável. As lojas podem ser responsáveis, se não adotavam medidas de segurança da informação ou não monitoravam o uso indevido de suas marcas, permitindo que fossem usadas para fraudes e golpes. 

Porém, é importante advertir, se a loja comprovar que não deu causa ou que a despeito de todas as ostensivas demonstrações de segurança, a culpa foi exclusiva do consumidor, esta pode não se obrigada a reparar. Cada caso é um caso, e muitos deles serão apreciados pela Justiça. Por isso, prevenção é a melhor opção, sempre.

O IDCI (Instituto de Defesa do Cidadão e Consumidor na Internet) presta atendimento e apoio a vítimas de golpes e crimes cibernéticos, por seus canais, Siga @idcibrasil no Facebook e Instagram.

Prof. MSc. José Antonio Milagre, é Advogado e perito especializado em Direito Digital e Crimes Cibernéticos, Mestre e Doutorando Ciência da Informação pela UNESP, Presidente da Comissão de Direito Digital da OAB/SP Regional da Vila Prudente, Autor pela Editora Saraiva em co-autoria com o Professor Damásio de Jesus, dos livros “Marco Civil da Internet: Comentários à Lei 12.965/2014” e “Manual de Crimes Informáticos”. Fundador do Instituto de Defesa do Cidadão na Internet – IDCI.

Canais:

http://www.instragram.com/drjosemilagre
http://www.facebook.com/drjosemilagre
http://www.youtube.com/josemilagre