Leis e regulamentos que regem a Ciber-segurança

Muitos utilizadores de sistemas de informação e comunicação desconhecem a sua potencial responsabilidade pela utilização indevida destas tecnologias.[1] Os sistemas de informação e comunicação são uma coisa, e a pessoa que os manuseia é obrigada a agir de tal forma que não haja danos injustificados à liberdade, vida, saúde ou propriedade de outrem.[2]

Se um delinquente causar danos a uma parte lesada, violando intencionalmente os bons costumes, é obrigado a indemnizar essa parte; no entanto, se exercer o seu direito, o delinquente só é obrigado a indemnizar o dano se observar o dano de outra como objectivo principal.[3]

Esta redacção do Código Civil implica claramente tanto a obrigação de gerir adequadamente os sistemas de informação e comunicação, como a obrigação de evitar danos que possam surgir das suas actividades (ou seja, a utilização das TIC no ambiente da Internet).

Muitos utilizadores comuns subestimam a protecção e segurança dos recursos TIC à sua disposição, quer negligentemente, quer intencionalmente.

A determinação da forma de culpa nas acções de um utilizador final é crucial para uma possível responsabilidade civil ou criminal. Esta afirmação pode ser demonstrada em três casos ilustrativos do mundo real.

Um utilizador de computador pessoal estava a utilizar uma cópia ilegal do sistema operativo Windows 7 e, intencionalmente, não actualizou o sistema. O utilizador instalou intencionalmente programas no computador que permitiram a terceiros manipular o computador sem a sua ajuda adicional.

O objectivo da actividade do utilizador acima descrita era libertar-se de qualquer responsabilidade criminal por um ataque efectuado por outra pessoa num computador tão preparado (por exemplo, o computador faz intencionalmente parte de uma rede de botnets).

Na prática, é possível encontrar tais atacantes que baseiam a sua defesa no facto de não terem sido eles a pessoa que levou a cabo um ataque específico através de um computador.

Evitar a culpa com base na alegação de que a pessoa não é um atacante directo e as suas acções não causaram um ataque específico não é, na minha opinião, legítimo, ou não é válido aceitar absolutamente esta alegação.

Do ponto de vista do direito penal, pelo menos a aplicação da instituição de participação e do princípio de acesso à participação poderia ser considerada[4] uma vez que os actos de uma pessoa que ajudou e foi cúmplice de uma infracção penal por outra (em particular, fornecendo os meios, removendo as barreiras, levando a pessoa lesada ao local do crime, vigiando enquanto um acto foi cometido, aconselhando, encorajando a determinação ou prometendo participar numa infracção penal) podem ser subsumidos ao abrigo das disposições sobre um acessório.[5] Neste caso, fornecer os meios significaria também disponibilizar um sistema informático, ou parte dele, para a prática de uma infracção penal intencional.

Se fosse provado um maior grau de participação directa de um utilizador na infracção de outra pessoa, seria possível considerar esse utilizador como cúmplice[6] numa infracção penal. O factor decisivo seria o nível de conhecimento sobre a utilização de um determinado computador para um acto ilegal e a compreensão adicional de que esta actividade pode violar ou pôr em perigo os interesses protegidos pelo direito penal.[7]

Do ponto de vista do direito civil, as acções de tal utilizador poderiam ser incluídas no artigo 2909 do Código Civil, ou seria possível utilizar o artigo 2915 do Código Civil, que regula o caso em que o dano é causado por várias pessoas. Esta disposição estipula que: "se vários delinquentes forem obrigados a indemnizar, devem fazê-lo conjunta e solidariamente; se qualquer dos delinquentes tiver o dever, ao abrigo de outro estatuto, de indemnizar apenas até um certo limite, é obrigado a fazê-lo conjunta e solidariamente com os outros delinquentes nessa medida. Isto também se aplica quando várias pessoas cometeram actos ilícitos separados, cada um dos quais pode ter causado uma consequência prejudicial com um elevado grau de certeza e se a pessoa que causou o dano não puder ser identificada. "É a segunda frase da Secção 2915 (1) que, na minha opinião, pode ser muito bem aplicada ao caso acima descrito.

Um utilizador de computador pessoal estava a utilizar uma cópia ilegal do sistema operativo Windows 7 e, intencionalmente, não actualizou o sistema. Tinha uma série de jogos e outras aplicações instaladas no seu computador, nas quais foi cometida uma violação dos direitos de autor, em particular contornando ou suprimindo elementos da sua protecção e utilizando keygens ou cracks[8] que continham malware de outros atacantes. O utilizador não estava ciente de que o seu computador estava a ser utilizado por outros utilizadores.

Na prática, este é o caso mais comum em que um computador é mal utilizado sem o conhecimento do seu utilizador autorizado, mesmo que esse utilizador, através da sua má conduta (especialmente violação dos direitos de autor) ou simples ignorância da tecnologia informática, tenha feito com que o seu computador fosse mal utilizado para atacar terceiros.

Do ponto de vista do direito penal, não é possível utilizar a instituição da participação e o princípio da participação acessória neste caso, porque os actos da pessoa que permitiu ou facilitou a prática de uma infracção penal por outra pessoa não foram intencionais e, portanto, não tiveram por objectivo ajudar o principal infractor.

Do ponto de vista da culpabilidade, seria possível aplicar ao utilizador de um computador infectado as disposições relativas à negligência não desejada, uma vez que o infractor não sabia que a sua conduta poderia causar tal violação ou pôr em perigo, embora pudesse e devesse ter tido conhecimento disso, tendo em conta as circunstâncias e as relações pessoais.[9]

Devido ao facto de não haver uma natureza factual negligente do crime no Código Penal, de acordo com a Secção 230: Acesso não autorizado a sistemas informáticos e meios de informação, não será possível utilizar os institutos de direito penal neste caso particular.

Do ponto de vista do direito civil, a conduta de um tal utilizador poderia então ser subsumida ao abrigo da Secção 2912 (1) do Código Civil: "Se um delinquente agir de forma diferente do que se pode razoavelmente esperar em negócios privados de uma pessoa de qualidades médias, presume-se que está a agir de forma negligente". A este respeito, deve recordar-se que a pessoa que causou o dano (tortfeasor) é obrigada a compensar o dano, independentemente da sua culpa nos casos previstos por lei.[10]

Um utilizador "cuida" adequadamente do seu computador (tem software legal, actualiza-o, etc.) e protege-o razoavelmente (utiliza protecção e verificações antivírus, antispam e anti-malware), mas este computador foi atacado do exterior (por exemplo, ligado a uma botnet) e subsequentemente utilizado para atacar outro.

Considero que, do ponto de vista da culpa, não seria possível, neste caso, que os utilizadores de um computador infectado deste tipo estivessem sujeitos mesmo às disposições relativas à negligência não desejada. Devido à actividade proactiva de tal utilizador, a aplicação da Secção 232 do Código Penal está também fora de questão: Os danos aos Sistemas Informáticos e aos Registos dos Meios de Informação e a Interferência com Equipamento Informático por Negligência, como negligência grosseira, são exigidos nesta disposição.[11]

 Do ponto de vista do direito civil, então, a conduta de tal utilizador não seria, na minha opinião, possível de ser subsumida ao abrigo do anteriormente mencionado artigo 2912 (1) do Código Civil, pois neste caso o utilizador agiu como justificadamente lhe foi exigido. Contudo, isto tem de ser entendido de forma mais ampla, porque, se um utilizador souber que os seus recursos TIC estão a ser indevidamente utilizados para atacar outro, é obrigado a notificar essa pessoa que pode ser prejudicada em resultado deste facto sem demora indevida[12] e a avisar essa pessoa das possíveis consequências. Se cumprir a obrigação de notificação, a pessoa lesada não tem direito a indemnização pelos danos que poderia ter evitado após a notificação.[13]

Num caso específico, dependerá sempre de todas as circunstâncias do caso, e só o tribunal tem o direito de estipular a obrigação de pagamento de indemnizações.

Por outro lado, se um utilizador não "cuida" do seu computador (ou seja, não o assegura, não efectua a manutenção, etc.) e é posteriormente utilizado indevidamente, é realista que o tribunal, em processos de indemnização, imponha uma obrigação a esse utilizador em parte ou na totalidade (por exemplo, de utilizar o poder informático de um centro de dados) de compensar a parte lesada pelos danos que lhe são causados pelo computador do utilizador.