Do 'Ransomware' na Lei: apontamentos de direito português, nos contextos internacional e europeu

Do Ransomware na Lei apontamentos de direito português, nos contextos internacional e europeu Prof. Manuel David Masseno 12:15 1 Do Ransomware… 1 – caraterização do protocolo que constitui o modus operandi no Ransomware     obtenção de acesso ao sistema, com ou sem engano do titular (1) inserção no sistema de código, o qual encripta dados, com base num mecanismo de chaves assimétricas, e gera uma identificação personalizada desse sistema (2) comunicação à vítima do ocorrido, assim como o montante exigido, para facultar a chave personalizada de desencriptação, o qual tende a ser reduzido para induzir o pagamento e não ao reporte e/ou à queixa, em criptomoedas, para não ser rastreável, e o endereço para onde deve ser enviado, junto com a identificação (3) efetuado o pagamento, a vítima recebe a uma chave personalizada que lhe permite recuperar os dados (4) 2 Do Ransomware… 2 – a ausência de uma tipificação específica  até ao momento, o Ransomware não está tipificado qua tale, salvo, em parte, no Wyoming (WY Stat § 6-3-506, 2016) e, sobretudo, na Califórnia (Section 523 (c) do Penal Code, em vigor desde 1 de janeiro de 2017):  “‘Ransomware’ means a computer contaminant, as defined in Section 502, or lock placed or introduced without authorization into a computer, computer system, or computer network that restricts access by an authorized person to the computer, computer system, computer network, or any data therein under circumstances in which the person responsible for the placement or introduction of the ransomware demands payment of money or other consideration to remove the computer contaminant, restore access to the computer, computer system, computer network, or data, or otherwise remediate the impact of the computer contaminant or lock.” (Section 523 (c) (1) 3 Do Ransomware…  nomeadamente, assim é nas Fontes que aqui relevam:      o Código Penal (1995...), a Lei do Cibercrime (Lei n.º 109/2009, de 15 de setembro) e, também, a Lei da Proteção de Dados Pessoais, Lei n.º 67/98, de 26 de outubro no âmbito da Convenção do Conselho da Europa sobre o Cibercrime, adotada em Budapeste, a 23 de novembro de 2001 e da Diretiva 2013/40/UE, de 12 de agosto de 2013, relativa aos ataques contra os sistemas de informação o que não impede que as ações constantes do protocolo indicado supra preencham, a se, tipos penais existentes e as referidas condutas podem dar lugar a concursos de crimes, em geral formais, conforme considerarmos o modo como se articulam entre si (Art.º 30.º n.º 1 do Código Penal) 4 Do Ransomware… 3 – a obtenção de acesso ao sistema  sem enganar o titular do sistema:  o crime de acesso ilegítimo (Art.º 6.º da Lei do Cibercrime, que segue o disposto no Art.º 2.º da Convenção de Budapeste e Art.º 3.º da Diretiva relativa aos ataques), com a exclusiva disponibilidade do sistema como bem jurídico protegido:   “1. Quem, sem permissão legal ou sem para tanto estar autorizado pelo proprietário, por outro titular do direito do sistema ou de parte dele, de qualquer modo aceder a um sistema informático […]”. aplicável também a “2. […] quem ilegitimamente produzir, vender, distribuir ou por qualquer outra forma disseminar ou introduzir num ou mais sistemas informáticos dispositivos, programas, um conjunto executável de instruções, um código ou outros dados informáticos destinados a produzir as ações não autorizadas descritas no número anterior.” (Art.º 6.º da Convenção de Budapeste e Art.º 7.º da Diretiva relativa aos ataques) 5 Do Ransomware…  o crime de acesso indevido (Art.º 44.º da Lei da Proteção de Dados Pessoais), cujos bens jurídicos protegidos são a privacidade e a autodeterminação informacional:   “1. Quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado […]”. que teria uma aplicabilidade residual, mas corresponde à maior parte dos casos, atendendo à amplitude da definição legal de dados pessoais: “[…] qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;” (Art.º 3.º a), mais ainda se lida à luz do Regulamento Geral sobre a Proteção de Dados (Art.º 4.º 1. do Regulamento 2016/679, de 27 de abril) 6 Do Ransomware…  ou então enganando o titular do sistema (Phishing):  o crime de falsidade informática (Art.º 3.º da Lei do Cibercrime, em consonância com o Art.º 7.º da Convenção de Budapeste), sendo a preservação da confiança no tráfego jurídico o bem jurídico protegido:   “1. Quem, com intenção de provocar engano nas relações jurídicas, introduzir, modificar, apagar ou suprimir dados informáticos ou por qualquer outra forma interferir num tratamento informático de dados, produzindo dados ou documentos não genuínos, com a intenção de que estes sejam considerados ou utilizados para finalidades juridicamente relevantes como se o fossem […]”, e, em concurso real, atendendo à Jurisprudência o crime de burla informática e nas comunicações (Art.º 221.º do Código Penal e Art.º 7.º da Convenção de Budapeste), aqui, o património e, também, a preservação da confiança no tráfego jurídico constituem os bens protegidos 7 Do Ransomware…  “1. Quem, com intenção de obter para si ou para terceiro enriquecimento ilegítimo, causar a outra pessoa prejuízo patrimonial, interferindo no resultado de tratamento de dados ou mediante estruturação incorreta de programa informático, utilização incorreta ou incompleta de dados, utilização de dados sem autorização ou intervenção por qualquer outro modo não autorizada no processamento […]”, estando sempre subjacente um artifício, in casu técnico, destinado prejudicar outrem 4 – o tornar dados inacessíveis  crime de sabotagem informática (Art.º 5.º da Lei do Cibercrime, no seguimento da previsão do Art.º 5.º da Convenção de Budapeste e Art.º 4.º da Diretiva relativa aos ataques), com o património ou a continuidade da vida em sociedade enquanto bens jurídicos protegidos: 8 Do Ransomware…    “1. Quem, sem permissão legal ou sem para tanto estar autorizado pelo proprietário, por outro titular do direito do sistema ou de parte dele, entravar, impedir, interromper ou perturbar gravemente o funcionamento de um sistema informático, através da introdução, transmissão, deterioração, danificação, alteração, apagamento, impedimento do acesso ou supressão de programas ou outros dados informáticos ou de qualquer outra forma de interferência em sistema informático […]”. igualmente aplicável a “2. […] quem ilegitimamente produzir, vender, distribuir ou por qualquer outra forma disseminar ou introduzir num ou mais sistemas informáticos dispositivos, programas ou outros dados informáticos destinados a produzir as ações não autorizadas descritas no número anterior.” (Também no Art.º 6.º da Convenção de Budapeste e Art.º 7.º da Diretiva relativa aos ataques) e com uma forma qualificada, se “O dano emergente da perturbação for de valor consideravelmente elevado […] 9 Do Ransomware…  […] ou “A perturbação causada atingir de forma grave ou duradoura um sistema informático que apoie uma atividade destinada a assegurar funções sociais críticas, nomeadamente as cadeias de abastecimento, a saúde, a segurança e o bem-estar económico das pessoas, ou o funcionamento regular dos serviços públicos.” (n.º 5 a) e b), também Art.º 9.º n.º 4 da Diretiva relativa aos ataques), isto é, quando são atingidas infraestruturas críticas (“[…] a componente, sistema ou parte deste situado em território nacional que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções.”, Art.º 2.º a) do Decreto-Lei n.º 62/2011, de 9 de maio, resultante da transposição do, também, Art.º 2.º a) da Diretiva 2008/114/CE, de 8 de dezembro), agora, também operadores “de serviços essenciais” (Art.º 4.º 4) da Diretiva 2016/1148, de 6 de julho, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União 10 Do Ransomware… 5 – ao pedido de resgate  o crime de extorsão (Art.º 223.º do Código Penal), com o património enquanto bem jurídico protegido:   “1. Quem, com intenção de conseguir para si ou para terceiro enriquecimento ilegítimo, constranger outra pessoa, por meio de violência ou de ameaça com mal importante, a uma disposição patrimonial que acarrete, para ela ou para outrem, prejuízo […]”… podendo assumir uma forma qualificada, se o resgate for “de valor consideravelmente elevado” ou o autor for “membro de bando destinado à prática reiterada de crimes contra o património, com a colaboração de pelo menos outro membro do bando” (Art.º 204.º n.º 2 a) e g) do mesmo Código, ex vi Art.º 223.º n.º 3 a), sendo a segunda possibilidade muito mais provável que a primeira, ou se “produzir perigo para a vida da vítima ou lhe infligir, pelo menos por negligência, ofensa à integridade física grave” ou, ainda, se “do facto resultar a morte de outra pessoa” (Art.º 210.º n.º 2 a) e n.º 3, sempre do Código Penal, aplicáveis por força do, supra citado, Art.º 223.º n.º 3, agora a) e b) 11