O exercício da Advocacia especializada em crimes virtuais vem chamando a atenção de inúmeros profissionais e alguns fatores são considerados chave, como o crescimento das fraudes, golpes e ofensas praticadas pela internet.

O número de crimes virtuais vem crescendo desenfreadamente em todo o mundo. No Brasil não é diferente. De acordo com um relatório global publicado pela Symantec, o Brasil é o terceiro país que mais recebe ataques cibernéticos em dispositivos conectados à internet, considerando que de todas as ameaças detectadas, 9,8% ocorreram no Brasil, que fica atrás apenas dos Estados Unidos, com 10,1% e da China com 24%.

A quantidade de denúncias de crimes na internet cresceu 109,5% em 2018, segundo a associação SaferNet Brasil. A popularização do uso das redes sociais e das tecnologias, além do natural aumento da superexposição, aliada a ausência de programas de educação digital, favorecem igualmente o surgimento de golpistas e exploradores digitais.

Casos comuns de atuação

A atuação deste profissional é variada, podendo atuar em casos de perseguição virtual, stalking, crimes contra a honra, calúnia, injúria, difamação, cyberbullying e até em crimes eleitorais. Para se ter uma ideia, de acordo com uma pesquisa realizada pelo Fundo das Nações Unidas para a Infância (UNICEF), ao analisar trinta países, chega-se a conclusão que um em cada três jovens foram vítimas de cyberbullying e muitos relataram que abandonaram a escola devido essas violências virtuais. 

No aspecto patrimonial, crescem os delitos de estelionato digital e furto mediante fraude. Alguns exemplos recentes foram os casos de golpes envolvendo o auxílio emergencial destinado a trabalhadores informais e autônomos neste momento de pandemia do Covid-19, que chegaram a atingir 7 milhões de pessoas no Brasil, segundo os dados da PSafe.

Outras técnicas utilizadas, como chip swap, vem permitindo que atacantes tomem posse de ativos digitais das vítimas, incluindo contas bancárias e a partir delas conseguem realizar saques em ativos ou solicitar empréstimos. 

Por falar em crimes patrimoniais, é impossível que o advogado especialista em crimes virtuais não lide com pelo menos um caso de extorsão online. Cresceram os casos de ransomwares, nos quais os atacantes criptografam os discos da vítima, bloqueando seus dados, solicitando resgate, normalmente em bitcoins, para que os dados sejam liberados. De acordo com os dados da Emsisoft, empresa de segurança especializada no atendimento a casos desse tipo, houve um aumento de 41% nas infecções por malwares que sequestram computadores e redes em 2019, sendo que 205,2 mil organizações foram vítimas de ataques desse tipo, com uma média de US$ 84,1 mil nos valores do resgate. 

Além disso, o phishing scam, que consiste na tentativa de fraudulenta de “pescar” (a palavra phishing, deriva do inglê fishing) informações confidenciais, através de mensagens aparentemente reais para obter, por exemplo, dados bancários, continua em alta e lesando inúmeras pessoas em todo Brasil. 

São diários os casos envolvendo crimes de pornografia infantil, onde o profissional precisa adotar procedimentos ágeis para cessar o conteúdo, impedir o constrangimento e muitas vezes apurar a autoria. Além disso, este profissional atua para empresas em questões envolvendo ataques direcionados, ataques de negação de serviços, invasões e até mesmo em questões envolvendo propriedade intelectual e softwares irregulares no ambiente corporativo, que também podem caracterizar condutas criminosas. 

O Advogado especialista em crimes cibernéticos também vai lidar constantemente com processos de apuração de autoria, bloqueios de conteúdos e aprenderá logo cedo a lidar com a resistência das empresas e algumas redes sociais em cumprirem ordens expedidas por juízes do Brasil, como aplicativos de mensagens, dentre outros. A base para a guarda de registros é o Marco Civil da Internet, Lei 12.965/2014, legislação basilar para quem atua na área. 

Ainda, em alguns casos, muitas vezes precisará do MLAT (mutual legal assistance treaty) para obter registros de provedores de aplicações sem sede ou localização no Brasil. 

Formação desejada

Como se pode verificar, atuar como advogado especialista em crimes virtuais exige, logicamente, conhecimento em tecnologia da informação, compreensão das principais técnicas utilizadas pelos atacantes para lesar e praticar crimes pela internet e conhecimento de procedimentos para apuração da autoria, já que em parte dos crimes cibernéticos que se apresentam, não se conhece, a princípio, os autores por trás da ofensa. 

Assim, não se pode afirmar que um profissional sem background técnico atuará com a mesma precisão de alguém que se dedica para ter uma complementação na carreira e mais afinidade com a informática. Por outro lado, isso  não significa uma graduação em tecnologia, já que, hoje, muitos treinamentos e cursos de extensão são úteis e recomendados, como o curso de perícia forense digital (https://bityli.com/9Jyef) que ministro para muitos advogados que atuam com direito digital, que participam com o escopo de compreender melhor os processos de apuração de autoria, quebra de sigilo, investigação informática, recuperação e preservação de evidências. 

Dentre as competências esperadas pelo especialista em crimes cibernéticos, encontram-se a produção da prova digital, compreensão das técnicas de ataques digitais, fundamentos de redes e sistemas operacionais, entendimento sobre principais vulnerabilidades web, dentre outras. 

Em meu livro, Manual de Crimes Informáticos (https://cutt.ly/ooMiv16) trato das 10 vulnerabilidades OWASP, instituição que apresenta as principais e mais sérias vulnerabilidades em aplicações WEB. Atualize-se nestas técnicas. 

Assistência técnica da Perícia em Informática

Ao longo de anos atuando com perícias e assistência técnica especializada em crimes informáticos, percebo cada vez mais a importância, seja na acusação ou na defesa, da figura do assistente técnico, profissional de tecnologia da informação, comumente especializado em perícia forense digital, para auxiliar tecnicamente o trabalho do profissional do direito ou penalista especialista em crimes virtuais. 

Este perito digital auxiliará em diversos momentos, desde inquéritos policiais, nas delegacias ou especializadas, na instrução, na formulação de quesitos, acompanhamento de exames técnicos e outras diligências, inclusive, avaliando os exames dos peritos oficiais e identificando falhas e omissões.  Também pode atuar dando suporte ao advogado para redação das teses e na produção de provas técnicas simplificadas. 

Tendências e como começar?

Furto de criptomoedas, pontos de milhagem, ativos virtuais, questões envolvendo jogos online e extraterritorialidade, atuação de bots na seara eleitoral, deep fakes, fake nudes dentre outras questões que surgem diariamente no mundo da Internet e tecnologia da informação, continuarão a crescer e demandarão ainda mais da atuação do profissional especializado em crimes cibernéticos. 

A cada dia novos jogos, aplicativos, técnicas e práticas se revelam verdadeiros perigos da internet. Os novos regulamentos de proteção de dados, como a LGPD e GDPR também estabelecem direitos aos titulares de dados e aumentam a preocupação de agentes de tratamentos com invasões e outros ataques e suas consequências, o que também abrirá um novo campo de mercado para os profissionais que se especializarem em crimes digitais.

Nos Estados Unidos, a atual preocupação passa a ser os crimes tributários e lavagem de dinheiro com criptoativos, nos quais inúmeros profissionais em crimes cibernéticos e lawtechs já atuam na investigação, perícia e defesa em casos desta natureza.  

Assim, o advogado especializado em crimes cibernéticos deverá estar em constante atualização, aprendendo conceitos de segurança da informação, principais formas de ataques e ameaças, estar bem assessorado tecnicamente por peritos e especialistas em tecnologia. Investir em aprimoramento é essencial e o diferencial entre profissionais que buscam, cada vez mais, atuar nesta promissora área do direito digital. Do mesmo modo que a sociedade migrou para a tecnologia, o crime também migrou e é neste contexto que o advogado em crimes cibernéticos apresenta um papel social relevante, como profissional fundamental na busca pela justiça, nos milhares de processos criminais envolvendo questões tecnológicas, que crescem a cada dia. 

Quer compreender melhor os processos de apuração de autoria, quebra de sigilo, investigação informática, recuperação e preservação de evidências? Então se inscreva no Curso de Perícia Digital e Investigação Forense Digital, que apresenta uma abordagem 360º sobre o tema que visa preparar profissionais para este novo mercado de trabalho através de técnicas e melhores práticas, para que possam atuar com segurança nas mais variadas frentes da perícia voltada à tecnologia da informação. Faça sua inscrição através do link https://bityli.com/9Jyef e fique por dentro!

O registro de encaminhamento de mensagens efetivamente contribuirá para o combate a crimes digitais e Fake News?

Aprovado no Senado o Projeto de Lei 2.630/2020, que trata do combate a Fake News, por 44 votos a 32. A matéria, no entanto, causou controvérsia, sobretudo no seu artigo 10, que obriga os aplicativos, como o WhatsApp, a registrarem os encaminhamentos de mensagens realizadas, rastreando o que alguém envia para outrem. Mas será que este artigo é fundamental para o combate a crimes digitais e Fake News?

Muitos mensageiros privados já informam medidas para combate às Fake News em tempos de pandemia. O WhatsApp, por exemplo, anuncia em suas políticas sobre limites de encaminhamentos de conversas:  “Para tornar o WhatsApp ainda mais pessoal, criamos o conceito de mensagens encaminhadas muitas vezes e adicionamos uma etiqueta de setas duplas para indicar que essas mensagens não foram criadas pelo contato que as enviou. Geralmente, as mensagens encaminhadas muitas vezes podem conter informações falsas e não são tão pessoais quanto as mensagens típicas enviadas pelos seus contatos no WhatsApp. Agora, atualizamos o limite de encaminhamento para que essas mensagens só possam ser encaminhadas para uma conversa por vez.”

Informa que as mensagens de WhatsApp já possuem um contador que registra quantas vezes a mensagem é encaminhada, informando ainda que o contador também é protegido pela criptografia ponta a ponta, e somente o aparelho do usuário e destinatário possui. O App alega que “não tem acesso a quantas vezes uma mensagem foi encaminhada”. Se esta tese for verdadeira, o próprio app no aparelho armazena a contagem e diante de número elevado aciona uma função condicional, limitando a possibilidade de encaminhamento. 

O artigo 10, no entanto, determina que os serviços de comunicação instantânea devam guardar os chamados “registros de encaminhamento”, o que vem sendo considerado uma “tornozeleira digital” pelos provedores de aplicação e um grande retrocesso. Basicamente, os provedores de aplicação deverão registrar metadados, “dados sobre dados”, relativos aos envios de mensagens veiculadas em encaminhamentos em massa, custodiando estes registros por três meses. A argumentação aqui é que se possa chegar à averiguação da origem de uma Fake News. Será?

O que se pretende guardar aqui seria, em nossa visão, data, hora, número/terminal ou Ids envolvidos nos envios, fuso horário e quantitativo total dos usuários que receberam a mensagem. Assim, a partir de uma mensagem recebida ou descoberta pela vítima, se poderia, com base na Lei Projetada (Lei Brasileira de Liberdade Responsabilidade e Transparência na Internet) requerer uma ordem judicial para que o mensageiro apresentasse, judicialmente, o registro de todos os encaminhamentos (cadeia de encaminhamentos), desde o primeiro existente no período de guarda, contanto que a mensagem deve se enquadrar nos critérios que obrigam o armazenamento, previstos em lei. Caso negativo, o provedor de aplicações deverá, em tese, justificar em juízo o não fornecimento. Quais critérios são esses?

Não se busca aqui, como visto, o conteúdo das mensagens e a princípio não se identifica os destinatários das mensagens. Faltava, no entanto, definir o que seriam os chamados “encaminhamentos em massa”. Na PL, ficou definido como o envio de uma “mesma mensagem”, por mais de 5 (cinco) usuários em intervalo de até 15 (quinze) dias, para grupos de conversas, lista de transmissão ou mecanismos similares de agrupamentos de múltiplos signatários, sendo obrigado a guardar apenas as mensagens que alcançarem 1.000 ou mais usuários. O acesso, só deve se dar por ordem judicial. A questão é, como a suposta vítima vai saber se a  “notícia falsa” está inserida no contexto de um encaminhamento em massa? Quais são os critérios para identificá-las? Uma mensagem pode não ter alcançado 1.000 usuários em uma semana, e na outra sim… Assim, na dúvida, resta indisfarçável que se este artigo calhar, muitas supostas vítimas irão pedir tais registros ao Judiciário, mesmo sem saber se trata de encaminhamento em massa, e isso pode gerar um aumento considerável de processos e requerimentos. O Judiciário deverá ser muito criterioso nas análises. As aplicações se recusarão a fornecer dados informando que não há registros para a mensagem, pois não atingiu os critérios legais para armazenamento. 

O artigo 10 foi aprovado no Senado, mesmo com destaque em sentido contrário, rejeitado, onde alguns Senadores entenderam que o “registro de encaminhamento” é essencial (pedra de toque) para apuração das Fake News, o que não é uma verdade técnica. O Marco Civil já prevê a guarda dos registros de acesso à aplicação (data, hora, ip e fuso horário) e que já são suficientes para a apuração da autoria de Fake News nos comunicadores instantâneos, ainda que em uma sequência de investigações mais demorada. Deste modo, não se trata de mais textos legislativos, mas de efetiva cooperação das aplicações no cumprimento da legislação já existente. 

De outra ordem, existem vários meios técnicos para “burlar” o “registro de encaminhamento” tal como vem sendo arquitetado. E se uma pessoa não “encaminha” a mensagem, mas a partir do conteúdo armazenado em seu dispositivo a reposta? Este registro seria considerado, tendo em vista que a ação foi outra? E se ao invés de encaminhar uma mensagem ou conteúdo visual, alguém printa a tela e reenvia, ou mesmo envia uma “foto da foto”, ou ainda, envia o conteúdo não como imagem ou texto, mas como documento. São meios simples de burlar as “etiquetas”, quer via metadado, quer via hashing que possam ser aplicadas em um sistema de rastreamento de encaminhamentos. 

Como se vê, a exigência do artigo 10 parte de uma premissa equivocada, é pouco eficaz contra as FaKe News e técnicas de subversão possíveis e vai gerar alta onerosidade técnica para os serviços de aplicativos de mensagens, que serão obrigados a ter uma estrutura para gerar e armazenar inúmeros registros de encaminhamentos, taggeando mensagens desde o surgimento dela (inserindo uma codificação para que, eventualmente, diante de uma ordem judicial, seja identificada a “mesma mensagem” compartilhada por mais de 5 usuários), mesmo “sem conhecerem o conteúdo” encaminhado, em um “rastreamento preventivo” perigoso. Aliás, se assim não for, outra questão perturbadora é: Como os provedores de aplicação e mensageria privada vão tecnicamente identificar “uma mesma mensagem”, enviada em massa, se eles não inspecionam o conteúdo das mensagens, por respeito à privacidade e proteção de dados? Farão por hash dos conteúdos (campos)? Desenvolverão uma técnica? Um risco imenso à privacidade se mentaliza. 

Do mesmo modo, a argumentação de que são “apenas” registros metadados e não de conteúdos, e que a criptografia ponta-a-ponta do WhatsApp já preserva a privacidade, também não resiste à análise técnica. A privacidade estará ameaçada mesmo que o mensageiro adote a criptografia das conversas, pois com os metadados gerados por usuários e armazenados pelos mensageiros (incluindo números telefônicos) em mãos erradas ou vazados, pode-se ter um dossiê completo sobre as atividades de encaminhamentos, além de outras correlações, com efeito, existem implicações e conflitos nítidos também com o disposto na Lei Geral de Proteção de Dados (13.709/2018).

Como visto, estes são apenas alguns de muitos pontos nebulosos na disposição o artigo 10 da PL 2.630/2020, como por exemplo, como avaliar a intenção do agente que encaminha uma mensagem considerada Fake? Estaria agindo com dolo ou é mais uma vítima que acreditou e repassou? São pontos como estes que demanda mais debates aprofundados no Senado, que diversamente, não estendeu a discussão para ouvir os especialistas e, rejeitando o destaque de modificação do artigo 10, aprovou o Projeto de Lei. Queremos crer, na Câmara dos Deputados, que o deslinde não seja o mesmo e que a discussão ocorra, no escopo de se corrigir inúmeras falhas deste projeto desproporcional e equilibrá-lo para não afrontar direitos e garantias fundamentais e Leis já estabelecidas, como o Marco Civil da Internet, sobretudo, para que não permaneça com o status de um dos mais restritivos do mundo.

José Antonio Milagre é perito digital, especialista em Crimes Cibernéticos, Advogado, Mestre e Doutorando pela UNESP, Presidente da Comissão de Direito Digital da Regional Vila Prudente da OAB/SP e Diretor do Instituto de Defesa do Cidadão na Internet (IDCI). e-mail: [email protected]