PL dos Cibercrimes é falho e pouco deve mudar o cenário corporativo

Nesta quarta-feira, 16, a Câmara aprovou o Projeto de Lei dos Cibercrimes, que torna delito a invasão de computadores, violação de senhas, obtenção de dados sem autorização, ação de crackers e clonagem de cartão de crédito/debito. Mas a efetividade dessa lei ainda é questionada por especialistas do setor.

Embora o Brasil ainda não tenha uma legislação especifica para punir as pessoas que usam de forma indevida a internet, há muito tempo se discute questões sobre a segurança da informação no palco nacional. Um projeto de lei que tramita no Congresso Nacional desde 1999 ? e está parado na Câmara dos Deputados há pelo menos três ? visa tornar crime 12 tipos de ações praticadas na rede.

Popularmente conhecida como ?Lei Azeredo?, a proposta é considerada muito mais ampla, até mesmo pelo grau de completude que vem sendo discutida, e não tem nada haver com o projeto aprovado nesta semana.

?Temos recebidos várias críticas da Azeredo, que é bem mais completa, e de repente fomos dormir com o escândalo de uma crise global e acordamos com a aprovação de um projeto mau feito devido ao clamor de uma situação pontual que despertou a atenção de todos e fez com que fosse aprovado sem que os devidos debates fossem realizados, como da própria realização de um debate público?, avalia Leonardo Palhares, especialista em Direito Digital e diretor da Câmara e-net.

Clamor este causado pelo recente vazamento das fotos da atriz Carolina Dieckmann, exemplo de ação que provoca à vítima grande insegurança social. Para ?crimes? desta categoria, o projeto aprovado pela Câmara estabelece pena de três meses a um ano de detenção, considerada de baixo potencial. Mas, e se ao invés de fotos pessoais fossem dados sigilosos de sua empresa? A pena seria a mesma.

De acordo com Palhares, são crimes que vão ser enquadrados dentro do processo dos juizados especiais criminais. ?São [penas] muito reduzidas se pensar no tamanho do problema que pode ser gerado por essas ações.? O especialista vai além: ?Cada vez mais as coisas são levadas do mundo físico para o digital. Cada vez mais nossa vida esta na internet e ações como essa de hackers e crackers surrupiam informações e geram insegurança muito grande que não pode ser punida por penas tão brandas. Poucos deixariam de praticar esses crimes por medo da punição?, pontua.

Em tese trata-se de um tema que hoje está em alta, mas cuja aplicabilidade vai ser bastante reduzida por causa do seu conteúdo. Palhares conta que o projeto de lei tem quatro artigos e que neles são alteradas outras quatro passagens do código penal. ?O conteúdo fica longe de resolver as questões que realmente existem.?

Interesse público

De um lado a falta de amplitude de um projeto criado às pressas, de outro o interesse público estampado nas páginas do PL, já que o mesmo estabelece, ainda, o aumento da pena de um terço à metade se o crime for cometido contra o presidente da República, governadores e prefeitos, presidente do Supremo Tribunal Federal, presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa, da Câmara Legislativa do Distrito Federal ou de Câmara de Vereadores, ou de dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.

?Fica claro que existe um interesse público, por que não criar uma lei que seja afetiva e valida tanto para o cidadão normal quanto para os políticos??, questiona Ivo Machado, especialista em Segurança da Informação e diretor da In2Sec.

A impressão tida por Machado é de que essa é mais uma lei que não será utilizada por dar condições para tipificar os crimes sem ter a efetividade que precisa. Além de tratar órgãos públicos com diferença, a falta de recursos e tecnologia não faz do projeto uma base de proteção nem mesmo para o mundo corporativo, que tem sofrido constantes invasões e ataques, como o conhecido DDoS.

Nesses casos, como os ocorridos com as instituições financeiras no início do ano, a ação afeta o interesse público por isso seria considerado crime. ?Mas, isso gera muito mais do que o desgaste da pessoa que queria pagar a sua conta online e não conseguiu, uma pessoa que se presta a desafiar uma questão de tão relevância deveria ser punida de outras formas?, considera Palhares.

A sensação do falso positivo, de ler o PL na íntegra e imaginar estar protegido, pode iludir as empresas, já que a proposta pouco muda o cenário corporativo. Embora o projeto especifique como crime a invasão de computador ou dispositivo de terceiros, a simples ação de entrar na máquina alheia para bisbilhotar, de acordo com esse projeto de lei, não é crime. ?A primeira questão a ser levantada seria o fato de considerar delito eu invadir o seu computador?, pondera Palhares.

A ação de apenas invadir ou roubar/destruir informação sendo ela considerada crime cria uma segunda questão: como chegar ao criminoso. A falta de recurso e preparo da polícia brasileira é um ponto levantado pelo especialista Ivo Machado.

?Não existe investimento em recursos nem em TI aptos para que possamos ter algo afetivo. As lan houses, por exemplo, precisam solicitar documento, mas qualquer um pode apresentar um RG falso. O cara que conhece bem de TI não vai ser identificado, é super difícil fazer a rastreabilidade, muitas vezes tem que passar por outros países, que em inúmeros casos não têm convênios entre as polícias?, avalia.

Solução

Trabalhar o tema para depois discutir o que deve ser restringido poderia ser uma saída. ?A ordem lógica das discussões não pode ser atropelada por causa do clamor popular?, diz Palhares.

?A gente se pega num Senado que por um lado aprovada leis desnecessárias ao invés de debater as verdadeiras implicações como a do marco civil da internet?.

Palhares refere-se as três leis sancionadas pela presidenta Dilma Rousseff no início de maio. O PL 12623 que institui a comemoração ao aniversário de Buda Shakyamuni no segundo domingo de Maio; o 12630 que institui o Dia Nacional do Reggae em todo 11 de maio; e o 12605 que estabelece a obrigatoriedade da flexão de gênero para nomear as pessoas.