Do Ransomware na Lei
apontamentos de direito português, nos contextos internacional e europeu
Prof. Manuel David Masseno
12:15
1
Do Ransomware…
1 – caraterização do protocolo que constitui o
modus operandi no Ransomware
obtenção de acesso ao sistema, com ou sem engano do
titular (1)
inserção no sistema de código, o qual encripta dados, com
base num mecanismo de chaves assimétricas, e gera uma
identificação personalizada desse sistema (2)
comunicação à vítima do ocorrido, assim como o
montante exigido, para facultar a chave personalizada de
desencriptação, o qual tende a ser reduzido para induzir o
pagamento e não ao reporte e/ou à queixa, em criptomoedas,
para não ser rastreável, e o endereço para onde deve ser
enviado, junto com a identificação (3)
efetuado o pagamento, a vítima recebe a uma chave
personalizada que lhe permite recuperar os dados (4)
2
Do Ransomware…
2 – a ausência de uma tipificação específica
até ao momento, o Ransomware não está tipificado qua
tale, salvo, em parte, no Wyoming (WY Stat § 6-3-506,
2016) e, sobretudo, na Califórnia (Section 523 (c) do Penal
Code, em vigor desde 1 de janeiro de 2017):
“‘Ransomware’ means a computer contaminant, as defined in
Section 502, or lock placed or introduced without authorization into a
computer, computer system, or computer network that restricts
access by an authorized person to the computer, computer system,
computer network, or any data therein under circumstances in which
the person responsible for the placement or introduction of the
ransomware demands payment of money or other consideration to
remove the computer contaminant, restore access to the computer,
computer system, computer network, or data, or otherwise remediate
the impact of the computer contaminant or lock.” (Section 523 (c) (1)
3
Do Ransomware…
nomeadamente, assim é nas Fontes que aqui relevam:
o Código Penal (1995...), a Lei do Cibercrime (Lei n.º
109/2009, de 15 de setembro) e, também, a Lei da Proteção
de Dados Pessoais, Lei n.º 67/98, de 26 de outubro
no âmbito da Convenção do Conselho da Europa sobre o
Cibercrime, adotada em Budapeste, a 23 de novembro de
2001
e da Diretiva 2013/40/UE, de 12 de agosto de 2013, relativa
aos ataques contra os sistemas de informação
o que não impede que as ações constantes do protocolo
indicado supra preencham, a se, tipos penais existentes
e as referidas condutas podem dar lugar a concursos de
crimes, em geral formais, conforme considerarmos o modo
como se articulam entre si (Art.º 30.º n.º 1 do Código Penal)
4
Do Ransomware…
3 – a obtenção de acesso ao sistema
sem enganar o titular do sistema:
o crime de acesso ilegítimo (Art.º 6.º da Lei do Cibercrime,
que segue o disposto no Art.º 2.º da Convenção de Budapeste
e Art.º 3.º da Diretiva relativa aos ataques), com a exclusiva
disponibilidade do sistema como bem jurídico protegido:
“1. Quem, sem permissão legal ou sem para tanto estar
autorizado pelo proprietário, por outro titular do direito do sistema
ou de parte dele, de qualquer modo aceder a um sistema
informático […]”.
aplicável também a “2. […] quem ilegitimamente produzir,
vender, distribuir ou por qualquer outra forma disseminar ou
introduzir num ou mais sistemas informáticos dispositivos,
programas, um conjunto executável de instruções, um código ou
outros dados informáticos destinados a produzir as ações não
autorizadas descritas no número anterior.” (Art.º 6.º da Convenção
de Budapeste e Art.º 7.º da Diretiva relativa aos ataques)
5
Do Ransomware…
o crime de acesso indevido (Art.º 44.º da Lei da Proteção de
Dados Pessoais), cujos bens jurídicos protegidos são a
privacidade e a autodeterminação informacional:
“1. Quem, sem a devida autorização, por qualquer modo, aceder
a dados pessoais cujo acesso lhe está vedado […]”.
que teria uma aplicabilidade residual, mas corresponde à maior
parte dos casos, atendendo à amplitude da definição legal de
dados pessoais: “[…] qualquer informação, de qualquer
natureza e independentemente do respetivo suporte, incluindo
som e imagem, relativa a uma pessoa singular identificada ou
identificável («titular dos dados»); é considerada identificável a
pessoa que possa ser identificada direta ou indiretamente,
designadamente por referência a um número de identificação ou a
um ou mais elementos específicos da sua identidade física,
fisiológica, psíquica, económica, cultural ou social;” (Art.º 3.º a),
mais ainda se lida à luz do Regulamento Geral sobre a Proteção
de Dados (Art.º 4.º 1. do Regulamento 2016/679, de 27 de abril)
6
Do Ransomware…
ou então enganando o titular do sistema (Phishing):
o crime de falsidade informática (Art.º 3.º da Lei do
Cibercrime, em consonância com o Art.º 7.º da Convenção de
Budapeste), sendo a preservação da confiança no tráfego
jurídico o bem jurídico protegido:
“1. Quem, com intenção de provocar engano nas relações
jurídicas, introduzir, modificar, apagar ou suprimir dados
informáticos ou por qualquer outra forma interferir num tratamento
informático de dados, produzindo dados ou documentos não
genuínos, com a intenção de que estes sejam considerados ou
utilizados para finalidades juridicamente relevantes como se o
fossem […]”, e, em concurso real, atendendo à Jurisprudência
o crime de burla informática e nas comunicações (Art.º
221.º do Código Penal e Art.º 7.º da Convenção de
Budapeste), aqui, o património e, também, a preservação da
confiança no tráfego jurídico constituem os bens protegidos
7
Do Ransomware…
“1. Quem, com intenção de obter para si ou para terceiro
enriquecimento ilegítimo, causar a outra pessoa prejuízo
patrimonial, interferindo no resultado de tratamento de dados ou
mediante estruturação incorreta de programa informático,
utilização incorreta ou incompleta de dados, utilização de dados
sem autorização ou intervenção por qualquer outro modo não
autorizada no processamento […]”, estando sempre subjacente
um artifício, in casu técnico, destinado prejudicar outrem
4 – o tornar dados inacessíveis
crime de sabotagem informática (Art.º 5.º da Lei do
Cibercrime, no seguimento da previsão do Art.º 5.º da
Convenção de Budapeste e Art.º 4.º da Diretiva relativa aos
ataques), com o património ou a continuidade da vida em
sociedade enquanto bens jurídicos protegidos:
8
Do Ransomware…
“1. Quem, sem permissão legal ou sem para tanto estar
autorizado pelo proprietário, por outro titular do direito do sistema
ou de parte dele, entravar, impedir, interromper ou perturbar
gravemente o funcionamento de um sistema informático, através
da introdução, transmissão, deterioração, danificação, alteração,
apagamento, impedimento do acesso ou supressão de programas
ou outros dados informáticos ou de qualquer outra forma de
interferência em sistema informático […]”.
igualmente aplicável a “2. […] quem ilegitimamente produzir,
vender, distribuir ou por qualquer outra forma disseminar ou
introduzir num ou mais sistemas informáticos dispositivos,
programas ou outros dados informáticos destinados a produzir as
ações não autorizadas descritas no número anterior.” (Também
no Art.º 6.º da Convenção de Budapeste e Art.º 7.º da Diretiva
relativa aos ataques)
e com uma forma qualificada, se “O dano emergente da
perturbação for de valor consideravelmente elevado […]
9
Do Ransomware…
[…] ou “A perturbação causada atingir de forma grave ou
duradoura um sistema informático que apoie uma atividade
destinada a assegurar funções sociais críticas, nomeadamente as
cadeias de abastecimento, a saúde, a segurança e o bem-estar
económico das pessoas, ou o funcionamento regular dos serviços
públicos.” (n.º 5 a) e b), também Art.º 9.º n.º 4 da Diretiva relativa
aos ataques), isto é, quando são atingidas infraestruturas
críticas (“[…] a componente, sistema ou parte deste situado em
território nacional que é essencial para a manutenção de funções
vitais para a sociedade, a saúde, a segurança e o bem-estar
económico ou social, e cuja perturbação ou destruição teria um
impacto significativo, dada a impossibilidade de continuar a
assegurar essas funções.”, Art.º 2.º a) do Decreto-Lei n.º 62/2011,
de 9 de maio, resultante da transposição do, também, Art.º 2.º a)
da Diretiva 2008/114/CE, de 8 de dezembro), agora, também
operadores “de serviços essenciais” (Art.º 4.º 4) da Diretiva
2016/1148, de 6 de julho, relativa a medidas destinadas a garantir
um elevado nível comum de segurança das redes e da
informação em toda a União
10
Do Ransomware…
5 – ao pedido de resgate
o crime de extorsão (Art.º 223.º do Código Penal), com o
património enquanto bem jurídico protegido:
“1. Quem, com intenção de conseguir para si ou para terceiro
enriquecimento ilegítimo, constranger outra pessoa, por meio de
violência ou de ameaça com mal importante, a uma disposição
patrimonial que acarrete, para ela ou para outrem, prejuízo […]”…
podendo assumir uma forma qualificada, se o resgate for “de
valor consideravelmente elevado” ou o autor for “membro de
bando destinado à prática reiterada de crimes contra o património,
com a colaboração de pelo menos outro membro do bando” (Art.º
204.º n.º 2 a) e g) do mesmo Código, ex vi Art.º 223.º n.º 3 a),
sendo a segunda possibilidade muito mais provável que a
primeira, ou se “produzir perigo para a vida da vítima ou lhe
infligir, pelo menos por negligência, ofensa à integridade física
grave” ou, ainda, se “do facto resultar a morte de outra pessoa”
(Art.º 210.º n.º 2 a) e n.º 3, sempre do Código Penal, aplicáveis por
força do, supra citado, Art.º 223.º n.º 3, agora a) e b)
11