Leis e regulamentos que regem a Ciber-segurança

Tendo em conta as circunstâncias legais polacas no domínio da criminalidade informática, deve ser declarado que praticamente todos os crimes incluídos no Capítulo XXXIII do Código Penal podem ser cometidos com a utilização de um computador. Estes tornar-se-ão então crimes informáticos. Em alguns casos, a utilização de um computador constitui uma circunstância que exacerba a responsabilidade criminal, por exemplo, o art. 268 § 2 e 3 do Código Penal, enquanto noutras situações o autor, ao cometer um crime com a utilização de um computador, será tratado da mesma forma que o perpetrador agindo de forma diferente, por exemplo, o art. 265 do Código Penal, art. 266º do Código Penal. Actualmente, como parte do capítulo acima mencionado do Código Penal, o legislador penalizou comportamentos como estes:

- acesso ilegal à informação ou a um sistema informático e com eles relacionado (Artigo 267º do Código Penal)

- actos que consistem em destruir, danificar, remover, substituir informações essenciais ou actividades similares (Artigo 268º do Código Penal),

- acções que consistem em destruir, danificar, apagar, alterar ou obstruir o acesso aos dados informáticos, ou perturbar ou impedir significativamente o processamento, recolha ou transferência automática desses dados (Artigo 268a do Código Penal),

- actos que envolvem a chamada sabotagem informática (Artigo 269º do Código Penal), também conhecida como desvio de TI,

- actos que consistem numa perturbação significativa do funcionamento de um sistema informático ou de uma rede de teleinformação (artigo 269a do Código Penal)

- actos que consistem na produção ilegal (ou actividades similares) de dispositivos ou programas informáticos adaptados para cometer crimes específicos, senhas de computador, códigos de acesso ou outros dados (Artigo 269b do Código Penal).

Para além do capítulo acima mencionado, o legislador regulamentou separadamente o crime de fraude informática (Artigo 287 do Código Penal), o roubo de um programa informático (Artigo 278 § 2 do Código Penal) e o tratamento de um programa informático (Artigo 293 do Código Penal). Todos os delitos incluídos no Capítulo XXXIII pertencem à categoria de delitos comuns, com excepção do Art. 269º do Código Penal, Art. 269a do Código Penal e do art. 269b do Código Penal. São de natureza de aplicação.

As soluções adoptadas no Capítulo XXXIII do Código Penal são uma consequência da assinatura pela Polónia, a 23 de Novembro de 2001, da Convenção n.º 185 do Conselho da Europa sobre o Cibercrime e da Decisão-Quadro 2005/222 / JAI do Conselho relativa a ataques contra os sistemas de informação.

O artigo 267º do Código Penal constitui a protecção penal da privacidade dos utilizadores da Internet. Em arte. 267 § 1 do Código Penal penaliza as acções destinadas a obter o acesso ilegal a informações não destinadas ao autor do crime. Do ponto de vista do registo criminal do comportamento do perpetrador, não importa onde a informação é armazenada, seja no disco rígido ou num servidor externo da rede. Isto significa que esta disposição protege o direito subjectivo amplamente compreendido de dispor de informações. A conduta do perpetrador da ofensa especificada na arte. 267 § 1 do Código Penal pode consistir na abertura de uma carta fechada, na ligação a uma rede de telecomunicações ou na quebra ou ultrapassagem de medidas electrónicas, magnéticas, informáticas ou outras medidas especiais de segurança. O conteúdo da disposição indica que o legislador penaliza as actividades indicadas na parte dispositiva, independentemente de o autor da infracção ter lido o conteúdo da informação. Isto significa que as características de um crime ao abrigo do art. 267 do Código Penal serão também preenchidas por uma pessoa que terá acesso a informações que não lhe sejam destinadas, mesmo numa situação em que não tenha a intenção de ler o seu conteúdo. A privacidade dos utilizadores da Internet também pode ser violada, quebrando ou contornando as medidas de segurança existentes e, assim, invadindo o computador da vítima. O termo genérico em Arte. 267 § 1 do Código Penal tipos de segurança, cuja violação ou desvio é punível por lei, significa que a securização de um ficheiro com uma palavra-passe irá satisfazer as condições de informação securizada.

As acções do perpetrador destinadas a obter acesso a todo ou parte do sistema informático constituem uma ofensa ao abrigo da Arte. 267 § 2 do Código Penal Referindo-se ao objecto do acto, chama-se a atenção para o termo "rede de telecomunicações" utilizado pelo legislador, que não foi definido no Código Penal. Por conseguinte, parece necessário referir-se ao art. 2 pontos 35 da Lei de 16 de Julho de 2004 das Telecomunicações, que define a rede de telecomunicações como sistemas de transmissão e dispositivos de comutação ou redireccionamento, bem como outros recursos, incluindo elementos inactivos da rede que permitem a transmissão, recepção ou transmissão de sinais através de fios, ondas de rádio, meios ópticos ou outros, utilizando energia electromagnética, qualquer que seja o seu tipo. A análise da definição acima mostra que uma rede de telecomunicações pode ser tanto a infra-estrutura de cabo existente como uma rede sem fios.

Além disso, o conceito de um sistema informático não foi definido no Código Penal, a sua definição é dada no Art. 7 ponto 2a da Lei de 29 de Agosto de 1997 sobre a Protecção de Dados Pessoais, que estabelece que "um sistema informático é um conjunto de dispositivos, programas, procedimentos de processamento de informação e ferramentas informáticas utilizadas para processar dados que cooperam entre si". Este termo também aparece no Art. 1 lit. e na Decisão-Quadro 2005/222 / JAI do Conselho de 24 de Fevereiro de 2005, que especifica que um sistema informático é qualquer dispositivo ou grupo de dispositivos ligados ou relacionados, dos quais pelo menos um efectua o tratamento automático de dados informáticos em conformidade com o software, bem como os dados armazenados, processados, recuperados ou fornecidos pelos mesmos para efeitos do seu funcionamento, utilização, protecção ou manutenção. Uma outra definição de um sistema informático está contida na Convenção n.º 185 do Conselho da Europa sobre Cibercriminalidade. Nos termos do artigo. 1 lit. e da Convenção, um sistema de informação é qualquer dispositivo ou grupo de dispositivos interligados ou relacionados, um ou mais dos quais, de acordo com o programa, efectua o processamento automático de dados. Devido ao facto de o conceito de um sistema informático desempenhar um papel importante na determinação da responsabilidade pelo cibercrime, a literatura descreve um sistema informático como um conjunto de elementos de hardware e software de cooperação que são utilizados para introduzir, processar e ler informação. O sistema informático não inclui, portanto, instalações de transmissão de dados.

Vale a pena notar que o legislador em Arte. 267 § 2 do Código Penal não definiu o método da acção do perpetrador, mas apenas o seu efeito. O acima exposto exige que qualquer comportamento que consista no acesso não autorizado a um sistema informático seja penalizado, independentemente de ter havido qualquer violação da segurança do computador ou do sistema.

            Em arte. 267 § 3 do Código Penal, o legislador sanciona outro acto proibido que consiste em instalar ou utilizar um dispositivo de escuta, um dispositivo visual ou outro dispositivo ou software, a fim de obter informações a que não tem direito. A condição de responsabilidade nos termos desta disposição não é a obtenção de informações, é suficiente que o infractor tome medidas específicas. Contudo, estas acções devem ser tomadas para um fim específico, ou seja, para obter informações a que o perpetrador não tem direito.

Em arte. 267 § 4 do Código Penal, o legislador penaliza a divulgação de informações obtidas a outra pessoa da forma especificada nos § 1-3.

 Outra arte. 268 do Código Penal sanciona o comportamento do perpetrador com o objectivo de violar a integridade dos dados informáticos. De acordo com as disposições do acto, esta violação pode tomar a forma de destruir, danificar, apagar ou alterar o registo de informações essenciais.

 Em arte. 268 § 2 do Código Penal O legislador cobriu a situação quando o acto do perpetrador diz respeito à gravação num suporte de dados TI, por exemplo, um disco rígido ou um CD. Note-se que o tema da protecção da Arte. 268 do Código Penal é a disponibilidade de informações, e o objectivo da acção do perpetrador é impedir ou impedir significativamente o acesso às informações relevantes por parte da pessoa autorizada. A necessidade da ocorrência de um efeito sob a forma de frustração ou de impedimento significativo do acesso à informação significa que um delito que consiste em destruir, danificar, apagar, substituir informações essenciais ou actividades similares se enquadra na categoria de delitos consequentes. Tal qualificação é consistente com a visão bem estabelecida da literatura. O legislador em Arte. 268 do Código Penal utiliza o conceito de "informação material" sem indicar as características que a informação deve ter para ser material, na acepção desta disposição. Por conseguinte, a avaliação da natureza das informações em questão deve ser feita caso a caso, com base em critérios objectivos e subjectivos.

 O tema da protecção da arte. 268a do Código Penal, em oposição à Arte. 268 do Código Penal, foi amplamente definido e é a segurança e disponibilidade dos dados informáticos, que não têm de satisfazer as características de significância. Os sinais de uma ofensa ao abrigo do art. 268a do Código Penal estão a destruir, danificar, apagar, alterar ou obstruir o acesso aos dados informáticos. Penalizados na arte. 268a do Código Penal o comportamento também pode consistir em perturbar ou impedir significativamente o processamento, recolha ou transferência automática de dados informáticos. O segundo conjunto de comportamentos proibidos deve ser significativo, que deve estar relacionado com o grau de perturbação ou prevenção do tratamento, recolha ou transmissão automática de dados informáticos, e não com a extensão dos dados modificados pelo perpetrador. Falamos da importância das acções tomadas pelo perpetrador quando estas acções são caracterizadas por um grau de intensidade suficientemente elevado. O tema da protecção da arte. 268a do Código Penal é a segurança da informação armazenada, transmitida e processada em sistemas baseados em dados TI.

Com base no sistema jurídico polaco, o termo "dados informáticos" não foi definido, e desempenha um papel importante. Por conseguinte, é necessário fazer referência ao direito internacional - em conformidade com o conteúdo da Arte. 1 letra b da Convenção n.º 185 do Conselho da Europa sobre o Cibercrime. De acordo com a disposição citada, este termo significa "qualquer representação de factos, informações ou conceitos de uma forma adequada ao processamento num sistema informático, incluindo um programa apropriado causando o desempenho de uma função por um sistema informático".

A definição de dados informáticos está também incluída na Arte. 1 letra b da Decisão-Quadro 2005/222 / JAI do Conselho de 24/02/2005 sobre ataques contra sistemas de informação e significa "qualquer representação de factos, informações ou ideias numa forma adequada ao processamento num sistema de informação, incluindo um programa adequado para causar o desempenho de uma função pelo sistema".

 As definições apresentadas indicam que os dados informáticos são todos os dados que são portadores de informação, bem como os programas informáticos utilizados tanto por pessoas individualmente definidas como utilizados em redes de TIC por um número indefinido de pessoas.

 Em arte. 269 do Código Penal, o legislador penalizou o comportamento da chamada sabotagem informática. A essência deste crime é a destruição, dano, eliminação ou alteração de dados informáticos de particular importância para a defesa do país, segurança nas comunicações, funcionamento da administração governamental, outro órgão ou instituição estatal ou governo local, bem como a perturbação ou impedimento do processamento, recolha ou transferência automática desses dados.

 Em arte. 269 § 2 do Código Penal, o legislador indicou que o crime de sabotagem pode consistir na destruição ou substituição de um portador de dados TI ou na destruição ou danificação de um dispositivo utilizado para o processamento, recolha ou transmissão automática de dados TI. Como decorre do conteúdo da disposição em questão, os dados TI são objecto de protecção de particular importância para a defesa do país, segurança nas comunicações, funcionamento da administração governamental, outro organismo estatal ou administração local, e o sistema de tratamento, recolha ou transferência automática de tais informações. A sabotagem informática é considerada como um tipo qualificado em relação aos crimes previstos na Arte. 268 § 2 do Código Penal, Art. 268a do Código Penal e 269a do Código Penal. A marca de qualificação aqui é o tipo de dados protegidos, ou seja, dados de particular importância para os valores enumerados no art. 268º do Código Penal. 269 do Código Penal. O legislador dividiu o comportamento penalizado do perpetrador em dois grupos. O primeiro deles são actividades destinadas a destruir, danificar, apagar ou alterar dados informáticos de particular importância para os valores protegidos pelo regulamento. O tema da protecção desta parte da disposição é a integridade dos dados pertencentes a uma categoria específica. O segundo grupo de características são actividades que consistem em perturbar ou impedir o tratamento, recolha ou transferência automática de dados informáticos de particular importância para a defesa do país, segurança nas comunicações, funcionamento da administração governamental, outro organismo ou instituição estatal ou governo local. Neste caso, o objecto de protecção é a disponibilidade dos dados especificados na disposição supracitada.

Em arte. 269 § 2 do Código Penal, o legislador, protegendo os bens especificados no § 1, sancionou os actos do autor do crime que consistiam em destruir ou substituir um portador de dados TI ou destruir ou danificar dispositivos utilizados para o processamento, recolha ou transmissão automática de dados TI. Estas actividades podem consistir na destruição física, danos, substituição de, por exemplo, discos rígidos, bem como em dificultar ou impedir o seu processamento, por exemplo, danificando dispositivos de rede. Devido à natureza material do crime de sabotagem informática, por atribuir ao perpetrador um acto ao abrigo da Arte. 269 do Código Penal, é necessário ter um efeito específico sob a forma de destruição ou dano dos dados informáticos especificados ou perturbar ou impedir o seu processamento ou transmissão automáticos.

 Outra disposição que regula a responsabilidade criminal da cibercriminalidade é a Arte. 269a do Código Penal polaco. A essência desta disposição é a protecção da segurança operacional de um sistema informático ou de uma rede TIC. O conceito de um sistema informático é identificado na literatura com o conceito de um sistema de informação. A responsabilidade criminal ao abrigo desta disposição será imposta a uma pessoa que, sem o direito, interfira significativamente com o funcionamento de um sistema informático ou rede de teleinformação por transmissão, destruição, remoção, dano, obstrução de acesso ou alteração de dados informáticos. Os métodos de acção penalizados pelo acto foram enumerados na disposição e, como regra, não devem suscitar quaisquer dúvidas de interpretação. A excepção é o termo "transmissão", que não foi definido pelo legislador. Na literatura, este termo significa a transferência de informação de um local num sistema informático para outro, por exemplo, de memória operacional para disco, de disco para impressora, de um computador numa rede para outro computador em rede. A transmissão sancionada de dados informáticos à distância deve ter lugar de forma codificada, e não em suportes externos, como um CD.

 O artigo 269b do Código Penal sanciona a produção, aquisição, venda ou disponibilização a outras pessoas de dispositivos ou programas informáticos adaptados para cometer os crimes enumerados. É de notar que as características deste crime incluem uma série de actividades preparatórias que podem estar relacionadas com a prática de crimes indicados na parte dispositiva da disposição. A criminalização abrange as actividades que consistem na criação e adaptação de dispositivos ou programas para a prática de crimes ao abrigo do art. 165 § 1 ponto 4, art. 267 § 3, art. 268a § 1 ou § 2 em relação ao § 1, art. 269 § 2, art. 269 § 2, ou artigo. 269a, a sua partilha e obtenção, bem como a quebra de senhas de computador, códigos de acesso ou outros dados que permitam o acesso à informação armazenada num sistema informático ou numa rede de TIC. O tema da protecção é a segurança da informação processada electronicamente em todos os aspectos, ou seja, a confidencialidade, integridade e disponibilidade dos dados e sistemas informáticos. Embora o legislador utilize o plural para actividades sancionadas, um único comportamento, por exemplo, a venda de apenas um programa, será punido por lei. Tal ponto de vista é estabelecido tanto na doutrina como na jurisprudência.

Em arte. 287 do Código Penal, o legislador regulamentou o crime de fraude informática. Esta infracção está incluída no capítulo XXXV, "Infracções contra a propriedade". O objecto de protecção deste artigo são os dados informáticos, juntamente com as informações nele contidas. Estes dados podem ser armazenados tanto na memória do computador como num CD ou servidor. O comportamento penalizado do infractor consiste em influenciar sem autorização o processamento, recolha ou transmissão automática de informações ou a alteração, eliminação ou introdução de um novo registo nos dados informáticos. O comportamento descrito do perpetrador deve ter como objectivo obter ganhos financeiros ou causar danos a outra pessoa. A literatura indica que a acção do perpetrador destinada a influenciar o processamento, recolha ou transmissão automática de informações assume a forma de interferência ilegal por parte de uma entidade externa no decurso de processos automáticos, o que faz com que, após a influência do perpetrador terminar o seu curso, em particular o processamento, recolha ou transmissão, seja diferente do que se o acto do perpetrador não tivesse sido executado. A fraude informática é um delito criminal. Isto significa que a infracção ao abrigo da Arte. 287 § 1 do Código Penal é feita no momento da introdução de alterações ou outras interferências no dispositivo ou sistema de recolha, processamento ou transmissão de informações através de tecnologia informática, tal como descrito nesta disposição. A necessidade do dano não é uma das suas marcas distintivas.

Em arte. 287 § 2 do Código Penal, o legislador definiu o tipo privilegiado devido a um caso menor. A ofensa ao abrigo do art. 287º do Código Penal, tem, por regra, carácter de Ministério Público. Contudo, no caso de ter sido cometido em detrimento da pessoa mais próxima, provoca, de acordo com o disposto no § 3, a alteração do modo de acção penal para o pedido.

A análise acima referida das disposições que regulam a responsabilidade criminal em matéria de crimes informáticos indica que o objecto fundamental de protecção para a criminalização dos crimes informáticos é a tradicional liberdade e privacidade dos indivíduos, embora visto de uma perspectiva informática. Contudo, também os dados recolhidos nos sistemas são protegidos, bem como os próprios sistemas e a sua integridade, cuja violação pode frequentemente ter consequências sociais muito graves. Ao mesmo tempo, deve ser mencionado que a regulamentação penal da cibercriminalidade irá encontrar dois problemas fundamentais. O primeiro está relacionado com o princípio da jurisdição. A criminalidade informática cometida na Internet é muitas vezes de natureza transfronteiriça, e por vezes até territorial, no sentido em que é frequentemente cometida isoladamente do território de uma determinada jurisdição. O segundo problema é o desenvolvimento muito rápido de novas formas de cibercriminalidade, que os legisladores normalmente não acompanham.

No entanto, tendo em conta os aspectos de direito penal apresentados, a gravidade da ameaça representada pelo cibercrime e a necessidade de uma resposta adequada ao mesmo, em particular através de regulamentos no domínio do direito penal, não pode levantar quaisquer dúvidas.