Do ransomware na Lei: alguns apontamentos de direito português1 Embora a prática não seja nova, a disseminação de ataques informáticos utilizando ransomware chamou a atenção mundial no primeiro semestre de 2017, com a disseminação do WannaCry, um ataque de em larga escala e com múltiplas vítimas, também em Portugal. Antes de mais, é necessário caraterizar o protocolo que constitui o modus operandi no ransomware. Por outras palavras, sem o preenchimento de cada um deles e por esta sequência, até poderemos ter ataques maliciosos, mas não se tratará de ataques de ransomware. Ter sido esse o caso do (Not)Petya, no qual a finalidade última foi a obtenção de informações confidenciais, além de tornar inoperantes os sistemas atacados. Em extrema síntese, o mesmo pode-se resumir em quatro passos, todos eles necessários para a respetiva identificação: (1) a obtenção de acesso ao sistema informático da vítima, com ou sem engano, por parte do(s) autore(s); (2) a que se segue a inserção no referido sistema de um código, o qual encripta dados, com base num mecanismo de chaves assimétricas, gerando adicionalmente uma identificação personalizada desse mesmo sistema; (3) depois, tem lugar uma comunicação à vítima do ocorrido, assim como do montante exigido, para facultar/entregar a chave personalizada de desencriptação, enviando valores em criptomoedas (para não ser rastreável), e o endereço (carteira) para onde deve ser enviado, junto com a identificação personalizada do sistema em causa; e (4) finalmente, uma vez efetuado o pagamento, a vítima recebe uma chave personalizada de desencriptação que lhe permite recuperar os dados. Com essa técnica, apesar de os pedidos de resgate não costumarem ultrapassar os 500 Dólares, os criminosos digitais tendem a obter um valor global elevado. Além disso, podem continuar com tais práticas devido à passividade das vítimas, até por ser frequente que os administradores dos sistemas ou as administrações das empresas ou outras organizações paguem os resgates, evitando os “custos reputacionais” que lhes adviriam se a ocorrência de tais ataques viesse a ser conhecida, não reportando, internamente, e/ou apresentando queixa junta da Polícia Judiciária ou do Ministério Público. Embora se trate duma técnica disseminada, o ransomware, nos precisos termos antes descritos, não está tipificado qua tale. Aliás, só assim é na Califórnia (Section 523 (c) do Apontamentos destinados a uma Aula no âmbito da Summer School 2017, do Laboratório UbiNET – Segurança Informática e Cibercrime e do Mestrado em Engenharia Informática Informática, ambos do Instituto Politécnico de Beja, no dia 6 de julho. 1 Penal Code, em vigor desde 1 de janeiro de 2017). Consequentemente, é necessário compulsar as Fontes potencialmente aplicáveis a esta realidade. Antes de mais, é preciso ter em mente que a obtenção de acesso ao sistema informático, o primeiro passo do protocolo de um ataque de ransomware, pode ocorrer com e sem engano do respetivo titular. Embora seja mais frequente que o acesso seja obtido através de práticas maliciosas, começaremos por enfrentar a possiblidade de o mesmo ocorrer por meios técnicos, dispensando a indução em erro do titular do sistema. Assim, temos o tipo do acesso ilegítimo (Art.º 6.º da Lei do Cibercrime, Lei n.º 109/2009, de 15 de setembro), no qual o bem jurídico penalmente protegido é a segurança, na aceção de disponibilidade exclusiva do sistema informático pelo seu titular. Porém, em grande parte dos sistemas se encontratam dados pessoais, em tais casos será preenchido um tipo diferente, o correspondente ao crime de acesso indevido (Art.º 44.º da Lei da Proteção de Dados Pessoais, Lei n.º 67/98, de 26 de outubro), cujos bens jurídicos penalmente protegidos são, antes, a privacidade e a autodeterminação informacional. No entanto, o mais comum é o ransomware ser introduzido no sistema enganando o seu titular, através do chamado Phishing. Nomeadamente, através de uma mensagem falsa de correio eletrónico, ou de um aplicativo de comunicação, pela qual o autor cria a aparência de se tratar de um rementente de confiança da vítima, ou de um seu colaborador, a induzindo a pressionar um anexo ou a seguir um link. Antes de mais, uma tal prática corresponde ao crime de falsidade informática (Art.º 3.º da Lei do Cibercrime). Neste tipo, o bem jurídico protegido é o interesse público na preservação da confiança no tráfego jurídico. O que conduz a Jurisprudência a entender que, no Phishing, existe um concurso real com o outro tipo, o do crime de burla informática e nas comunicações (Art.º 221.º do Código Penal), no qual o bem protegido é já o património da vítima, o sendo apenas reflexamente a tutela da confiança no tráfego jurídico. Como vimos, um passo essencial à caraterização tipológica do ransomware é o da encriptação do sistema informático atacado, no todo ou em parte, ficando os dados indisponíveis para o respetivo titular. Ora, uma tal ação preenche os pressupostos do crime de sabotagem informática (Art.º 5.º da Lei do Cibercrime). Por este, são protegidos não só bens privados como o património e a disponibilidade do sistema informático pelo respetivo titular, mas também bens públicos como a continuidade da vida em sociedade. Sendo também previstas formas qualificadas deste crime, quando e se “O dano emergente da perturbação for de valor consideravelmente elevado [ou] A perturbação causada atingir de forma grave ou duradoura um sistema informático que apoie uma atividade destinada a assegurar funções sociais críticas, nomeadamente as cadeias de abastecimento, a saúde, a segurança e o bem-estar económico das pessoas, ou o funcionamento regular dos serviços públicos.” (n.º 5 a) e b), isto é, quando são atingidas “infraestruturas críticas” (Na aceção do Decreto-Lei n.º 62/2011, de 9 de maio). Finalmente, a nossa Lei é clara ao caraterizar o protocolo inerente ao modus operandi do ransomware como correspondendo ao crime de extorsão. Aliás, a referida Section 523 do Penal Code do Estado da Califórnia penaliza uma forma qualificada de extorsão. Assim, entre nós, “Quem, com intenção de conseguir para si ou para terceiro enriquecimento ilegítimo, constranger outra pessoa, por meio de violência ou de ameaça com mal importante, a uma disposição patrimonial que acarrete, para ela ou para outrem, prejuízo é punido com pena de prisão até 5 anos” (Art.º 223.º n.º 1 do Código Penal). Neste contexto, a “ameaça com mal importante” consiste, pelo menos, na possibilidade, resultante da própria encriptação, de perder definitivamente a disponibilidade do sistema informático e dos dados neste contidos, além das consequências adicionais que advenham da indisponibilidade temporária do sistema. Cabe ainda acrescentar que, na falta de um tipo complexo de “extorsão digital”, o protocolo correspondente ao ransomware daria lugar a um concurso ideal de crimes, centrado no de extorsão em termos de unidade de ação (Art.º 30.º n.º 1, do Código Penal português). O que fará sentido quando se tratar de um acesso ilícito ao sistema informático (ilegítimo ou indevido na legislação portuguesa) ou a uma indução em erro da vítima (burla informáticas), seguido de um pedido de regaste, inclusive por se tratar sempre da proteção de bens jurídicos de natureza patrimonial. De fora deste concurso e pelas mesmas razões, apenas ficaria a falsidade informática. O mesmo valendo para a encriptação do sistema informático, ao ser esta a via escolhida pelos criminosos para intimidar os seus titulares e os levar a pagar o resgate solicitado. Mas já assim não será, verificando-se um concurso real de crimes, quando a encriptação implicar uma indisponibilidade prolongada do sistema informático da qual resultem danos desproporcionadamente elevados, excedendo o necessário à realização da extorsão, ficando autonomamente lesado o bem jurídico protegido pela sabotagem informática qualificada, ou sejam perturbados serviços públicos essenciais à continuidade da vida social, como ocorre com a sabotagem informática afetando infraestruturas críticas.