by: Tiago MartinsPosted on:

Submundo dos Mercados Financeiros IV – Cibercrime

A sequência de postagens sobre o submundo dos mercados financeiros – na qual já foram abordados paraísos fiscais (1), empresas de fachada (2) e crime organizado (3) – se detém sobre fenômenos criminais intimamente relacionados com a Investigação Financeira.

O cibercrime representa um mercado em ascensão no crime organizado (cyber organized crime), frequentemente adotando a forma de redes criminais. Por vezes, o cibercrime se enquadra em atividade principal do grupo e, em outras, como atividade secundária.

Grupos de Cibercrime

Os grupos dedicados à exploração do cibercrime são identificados como redes criminais, que variam entre aquelas com alguma forma de centralização, divisão de trabalho e líderes identificáveis.

O UNODC (4) classifica o cyber organized crime em:

a) grupos que operam predominantemente online e cometem crimes cibernéticos (atividade principal);

b) grupos que operam offline e online e se envolvem em crimes offline e cibercrimes (atividade principal); e

c) grupos que operam predominantemente offline e se envolvem em crimes cibernéticos para expandir e facilitar suas atividades offline (atividade secundária).

Na primeira categoria, há dois tipos de grupos que operam predominantemente online e cometem crimes cibernéticos como atividade principal: enxames e hubs.

Enxame é uma rede descentralizada de indivíduos que se envolve em tarefas específicas a fim de cometer um crime cibernético ou alguns crimes cibernéticos em espaço de tempo curto. Uma vez concluída a tarefa como um coletivo, alguns agentes, a maioria ou todos eles podem seguir caminhos separados e o grupo pode se desfazer. A dissolução de grupo anterior não impede que os agentes se tornem parte de outro enxame para se envolver em um cibercrime semelhante ou diferente no futuro, com alguns ou todos os agentes anteriores ou novos. Um propósito comum aos enxames é cometer cibercrimes por razões ideológicas, tais como o grupo hacktivista Anonymous.

Hubs possuem um grupo central de criminosos cercados por agentes periféricos, com motivação dos crimes voltada para o lucro. Ele é mais estruturado do que um enxame e tem posição de comando identificável. Algumas das atividades criminosas correspondentes a essa estrutura organizacional são a difusão de malware e a distribuição de pornografia infantil. Um exemplo de grupo criminal organizada em hub foi o Dreamboard.

Muitos grupos de cibercrime organizado em hub oferecem seus serviços ilícitos a outras organizações criminosas para contratação. O cibercrime como um serviço (cibercrime-as-a-service) é uma variação modelo de negócios do crime como serviço (crime-as-a-service).

Na segunda classificação dos grupos de cibercrime estão aqueles que operam offline e online e se envolvem em crimes cibernéticos (atividade principal). Eles são conhecidos como híbridosclusterizados e híbridos estendidos.

Um híbrido clusterizado (clustered hybrid) possui estrutura semelhante ao hub, mas o que lhe diferencia é a sua capacidade de executar operações tanto online quanto offline. Um exemplo típico de um grupo híbrido clusterizado é aquele que se envolve em clonagem de caixa eletrônico (ATM) e depois usa os dados para fazer compras online ou vende os dados em fóruns de cartões online.

Um híbrido estendido (extended hybrid) é mais sofisticado e tem um núcleo menos óbvio. Eles são compostos de associados e subgrupos que cometem várias atividades criminosas. Comunidades de mercado na darknet, tais como Silk Road, Silk Road 2.0 e Dream Market, possuem administradores, moderadores, vendedores, fornecedores e compradores que estão vagamente inter-relacionados.

Por fim, há os grupos que operam predominantemente offline se envolvem em crimes cibernéticos apenas para expandir e facilitar suas atividades offline (atividade secundária). Esses grupos são hierárquicos, normalmente compostos por grupos criminosos organizados tradicionais que procuram expandir certas atividades ilícitas online, como jogos de azar, extorsão, prostituição e tráfico de pessoas.

Desafios do Cibercrime

A Eurojust e a Europol elencam os desafios para um combate efetivo ao cibercrime em cinco grandes áreas (5).

A primeira preocupação é sobre a perda de dados (loss of data), que ocorre quando os provedores de internet não fornecem os dados às autoridades (data retention), empregam a tecnologia carrier grade network address translation (CGNAT) (6), os dados estão protegidos por criptografia ou há emprego de criptoativos nas transações financeiras.

Outra preocupação se relaciona à perda de localização (loss of location). O crescente uso de criptografia, criptoativos e hospedagem na dark web, levaram a situações em que não se pode razoavelmente estabelecer a localização física do criminoso, da infraestrutura criminal ou das provas eletrônicas. Essas ferramentas, em muitos casos, tornam incerto o país onde os crimes ocorrem e onde as provas estão guardadas, assim como a determinação da lei que regula a coleta de provas ou as técnicas especiais de investigação. Além disso, o uso crescente de armazenamento e serviços baseados em nuvem (cloud computing) significa que os dados armazenados podem estar fisicamente localizados em diferentes jurisdições.

As mesmas dificuldades que propiciam a perda de localização, também ocasionam entraves associados à aplicação de leis nacionais sobre cibercrime. Diferenças entre leis nacionais e instrumentos internacionais (tais como a Convenção de Budapeste) geram dificuldades na aplicação da lei, especialmente quanto à criminalização das condutas e institutos para investigar crimes cibernéticos e coletar evidências eletrônicas.

No mesmo sentido, a cooperação internacional para investigação de cibercrimes encontra obstáculos relacionados à assistência jurídica mútua (mutual legal assistance, MLAT) e à resposta a ataques cibernéticos de grande escala. Não existe uma estrutura legal comum para o compartilhamento acelerado de evidências, como existe para a preservação de evidências. Na prática, mesmo que as provas sejam preservadas, pode decorrer longo tempo antes que elas sejam disponibilizadas para a investigação no país requerente, pois o processo atual de MLAT é muito lento para coletar e compartilhar evidências eletrônicas de forma eficaz. Os mesmos problemas na cooperação internacional impedem as autoridades de lidar com o modi operandi do cibercrime nos casos de ataques cibernéticos em larga escala, tais como no WannaCry e NotPetya ocorridos em 2017.

Por fim, o enfrentamento ao cibercrime encontra obstáculos na relação entre órgãos públicos e empresas privadas. A cooperação com o setor privado é vital no combate ao cibercrime, pois este detém grande parte das evidências de crimes e possuem a capacidade de rápida remoção de infraestruturas criminosas, conteúdo ilícito e denúncia de violações de dados. O problema é que existe pouco consenso sobre a estrutura jurídica necessária para facilitar uma cooperação eficaz com o setor privado, especialmente até que ponto as partes privadas podem obter evidências e as implicações legais de suas ações, por exemplo, para a admissibilidade de tais provas em processos judiciais. Um dos exemplos mais bem-sucedidas dessa parceria é aquela firmada com o Centro Nacional para Crianças Desaparecidas e Exploradas (NCMEC) (7).

Conceito de Cibercrime

O termo cibercrime não pode ser empregado para designar uma atividade criminal amorfa e não se aplica para qualquer incremento tecnológico agregado aos mercados ilícitos tradicionais.

Europol e Interpol definem cibercrime, ou crime ciberdependente (cyber-dependent crime), como qualquer atividade criminosa que só pode ser cometida usando computadores, redes de computadores ou outras formas de tecnologia de informação e comunicação, incluindo a criação e disseminação de malware, hacking para roubar dados confidenciais pessoais ou do setor, ataques distribuídos de negação de serviço (DDoS) para causar danos financeiros e/ou de reputação e outras atividades criminosas (8). Na classificação mais difundida entre os estudiosos, nesse caso se até falando de cibercrimes próprios, ou puros.

Ao lado desses, há cibercrimes impróprios, ou impuros, que correspondem ao espectro informático de crimes tradicionais que ocorriam exclusivamente no mundo offline. Com a disseminação do espaço comunicacional cibernético, esses crimes se reconfiguraram em nova faceta digital e foram aumentados, em escala ou alcance, pelo uso de computadores, redes de computadores ou outras formas de tecnologia de informação e comunicação. São exemplos a pornografia infantil difundida por meio da internet, as fraudes eletrônicas (ciberfraudes), racismo e ataques à honra pela internet, assédio sexual a menores (cibergrooming), ciberbullying, ciberstalking, pornografia de vingança etc. Em todos esses, o bem jurídico tutelado não possui relação com o dispositivo informático.

Adota-se aqui o termo cibercrime para aqueles mandados de criminalização contidos na Convenção sobre Cibercrime do Conselho da Europa, conhecida como Convenção de Budapeste.

O tratado busca criar, em nível internacional, uma política criminal comum, com o objetivo de proteger a sociedade contra a criminalidade no ciberespaço, através de uma legislação adequada e da melhoria da cooperação jurídica internacional. Para tanto, necessário se foi chegar ao consenso mínimo sobre o que se entende por cibercrime. A lista de crimes incluídos representa um consenso mínimo, não excluindo extensões no direito interno.

A Convenção de Budapeste classifica os crimes cibernéticos em quatro modalidades:

a) crimes contra a confidencialidade, integridade e disponibilidade de dados e sistemas de computador;

b) crimes informáticos propriamente ditos;

c) crimes relacionados ao conteúdo da informação; e

d) violações a direitos autorais e crimes correlatos.

Acomodando essas modalidades nas categorias de crimes cibernéticos próprios e impróprios, ver-se que os chamados crimes contra a confidencialidade, integridade e disponibilidade de dados e sistemas de computador (arts. 2º a 6º) são crimes cibernéticos próprios, enquanto as demais modalidades (arts. 7º a 10), são crimes cibernéticos impróprios.

São crimes contra a confidencialidade, integridade e disponibilidade de dados e sistemas de computador (9), o acesso ilegal (illegal access, art. 2º), interceptação ilícita (illegal interception, art. 3º), violação de dados (data interference, art. 4º), interferência em sistema (system interference, art. 5º) e uso indevido de aparelhagem (misuse of devices, art. 6º).

O crime de acesso ilegal (art. 2º) significa o acesso doloso e não autorizado à totalidade de um sistema informático ou a parte deles. A depender da legislação interna, o crime ocorre se o acesso se der com violação das medidas de segurança do sistema; com o fim de obter dados do computador (10) ou com outro objetivo fraudulento; ou ainda contra um sistema de computador que esteja conectado a outro sistema de computador.

A interceptação ilícita (art. 3º) ocorre quando há interceptação ilegal ou intencional, realizada por meios técnicos, de transmissões não-públicas de dados de computador para um sistema informatizado, a partir dele ou dentro dele, inclusive das emissões eletromagnéticas oriundas de um sistema informatizado que contenham esses dados de computador. A depender da legislação interna, o crime ocorre se tiver objetivo fraudulento ou contra um sistema de computador que esteja conectado a outro sistema de computador.

A violação de dados (art. 4º) representa a danificação, eliminação, deterioração, alteração e supressão dolosa e não autorizada da dados de computador. A depender da legislação interna, para se configurar o crime a conduta deve causar sério dano à vítima.

Interferência em sistema (art. 5º) é a grave obstrução ou impedimento, dolosos e não autorizados, do funcionamento de um sistema de computador por meio da inserção, transmissão, danificação, apagamento, deterioração, alteração ou supressão de dados de computador.

O uso indevido de aparelhagem (art. 6º) representa a criminalização de:

A) a produção, venda, aquisição para uso, importação, distribuição ou a disponibilização por qualquer meio de (1) aparelho, incluindo um programa de computador, desenvolvido ou adaptado principalmente para o cometimento de qualquer dos crimes anteriores; e (2) uma senha de computador, código de acesso ou dados similares, por meio dos quais se possa acessar um sistema de computador ou qualquer parte dele, com a intenção de usá-lo para a prática de quaisquer dos crimes anteriores;

B) a posse de qualquer dos instrumentos referidos acima com a intenção de usá-los para a prática dos crimes previstos nos arts. 2º a 5º. A legislação interna pode exigir um número mínimo desses instrumentos para que a responsabilidade penal se materialize.

Outra modalidade de crime cibernético – desta feita, crime cibernético impróprio – previsto na Convenção de Budapeste é aquela dos crimes informáticos, englobando a falsificação (computer-related forgery, art. 7º) e a fraude informática (computer-related fraud, art. 8º).

A falsificação informática (art. 7º) significa a conduta de inserir, alterar, apagar ou suprimir, dolosamente e não autorizado, dados de computador. Desse ato deve resultar dados inautênticos, com o fim de que sejam tidos como legais, ou tenham esse efeito, como se autênticos fossem, independentemente de os dados serem ou não diretamente legíveis ou inteligíveis. A legislação interna pode exigir a intenção de defraudar ou outro objetivo fraudulento.

Por sua vez, a fraude informática (art. 8º) é a conduta de quem causar, de forma dolosa e não autorizada, prejuízo patrimonial a outrem por meio de qualquer inserção, alteração, apagamento ou supressão de dados de computador; ou por qualquer interferência no funcionamento de um computador ou de um sistema de computadores, realizada com a intenção fraudulenta de obter, para si ou para outrem, vantagem econômica ilícita.

O único mandamento de criminalização contido no corpo da Convenção de Budapeste sobre o conteúdo da informação é o que genericamente se chama de pornografia infantil (offences related to child pornography, art. 9º). Este termo inclui material pornográfico que represente visualmente um menor de 18 anos envolvido em conduta sexual explícita; uma pessoa que pareça menor envolvida em conduta sexual explícita; ou imagens realísticas retratando um menor envolvido em conduta sexual explícita.

Os países devem tipificar penalmente as seguintes condutas: produzir pornografia infantil para distribuição por meio de um sistema de computador; oferecer ou disponibilizar pornografia infantil por meio de um sistema de computador; distribuir ou transmitir pornografia infantil por meio de um sistema de computador; adquirir, para si ou para outrem, pornografia infantil por meio de um sistema de computador; e possuir pornografia infantil num sistema de computador ou num dispositivo de armazenamento de dados de computador (11).

Em 2003, o Conselho da Europa, preocupado com o risco de uso indevido de sistemas de computador para difusão de propaganda racista e xenófoba (12), editou o Protocolo Adicional à Convenção de Budapeste com novas formas de mandamento de criminalização sobre o conteúdo da informação: difusão de material racista e xenófobo através de sistemas de computador (art. 3º); ameaça com motivação racista ou xenófoba (art. 4º); insulto público com motivação racista e xenófoba (art. 5º); e negação, minimização grosseira, aprovação ou justificação do genocídio ou dos crimes contra a humanidade (art. 6º).

Por fim, são criminalizáveis as violações a direitos autorais e correlatos (offences related to copyright and neighbouring rights, art. 10), como definidos no direito local, quando tal conduta for cometida intencionalmente, em escala comercial e por meio de um sistema de computador.

Notas

  1. https://investigacaofinanceira.com.br/submundo-dos-mercados-financeiros-i-paraisos-fiscais/;
  2. https://investigacaofinanceira.com.br/submundo-dos-mercados-financeiros-ii-empresas-de-fachada/;
  3. https://investigacaofinanceira.com.br/submundo-dos-mercados-financeiros-iii-crime-organizado/;
  4. UNODC, Digest of Cyber ORGANIZED CRIME, 2ª Ed, Vienna, 2022;
  5. EUROJUST. EUROPOL. Common challenges in combating cybercrime As identified by Eurojust and Europol, June 2019. Disponível em https://www.eurojust.europa.eu/sites/default/files/assets/2019-06-joint-eurojust-europol-report-common-challenges-in-combating-cybercrime-en.pdf;
  6. Com a escacez dos endereços IPv4, essa tecnologia (mais conhecida como CG-NAT44) foi adotada para o emprego de um mesmo Ipv4 a mais de um usuário, o que demanda em investigações o acesso a dados da porta lógica para se precisar o usuário da rede, dado este que nem sempre é mantido por provedores de aplicação;
  7. https://www.missingkids.org/;
  8. EUROPOL. European Union Serious and Organised Crime Threat Assessment (EU SOCTA) 2021. A Corrupting Influence: The Infiltration and Undermining of Europe’s Economy and Society by Organized Crime. Disponível em https://www.europol.europa.eu/publications-events/main-reports/socta-report. INTERPOL. National Cybercrime Strategy Guidebook, 2021, disponível em https://www.interpol.int/Crimes/Cybercrime/Cyber-capabilities-development/Cyber-Capabilities-Capacity-Development-Project;
  9. Por sistema de computador, a Convenção designa qualquer aparelho ou conjunto de aparelhos interconectados ou relacionados entre si que asseguram, isoladamente ou em conjunto, pela execução de um programa, o processamento eletrônico de dados (art. 1º, a). São exemplos, os computadores pessoais, smartphones, tablets, variados dispositivos relacionados com a internet das coisas etc;
  10. A mesma convenção explica o que são dados de computador: “qualquer representação de fatos, informações ou conceitos numa forma adequada para o processamento num sistema de computador que inclua um programa capaz de fazer o sistema realizar uma tarefa” (art. 1º, b). Esse conceito também interessa aos demais crimes seguintes;
  11. Ver-se que nem todos os casos de exploração sexual infantil online são tidos por pornografia infantil pela Convenção de Budapeste. A exploração sexual infantil online inclui todos os atos de exploração sexual realizados contra uma criança que tenham, em algum momento, uma conexão com o ambiente online, tais como assédio, abuso sistemático e violência verbal, psicológica e física contra crianças. Algumas dessas condutas não estão contempladas pela Convenção de Budapeste;
  12. Segundo o art. 2º do Protocolo Adicional, “material racista e xenófobo” designa qualquer material escrito, imagem ou outra representação de ideias e teorias que preconize ou encoraje o ódio, a discriminação ou a violência contra qualquer pessoa ou grupo de pessoas, em função da sua raça, cor, ascendência ou origem nacional ou étnica, ou ainda da sua religião na medida em que esta sirva de pretexto a qualquer um dos outros elementos ou incite à prática de tais atos;

2 thoughts on “Submundo dos Mercados Financeiros IV – Cibercrime

  1. Pingback: Cibercrime: Convenção de Budapeste e Leis Brasileiras – Investigação Financeira
  2. Pingback: Cibercrime: Tipologias – Investigação Financeira

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

error: Content is protected !!