2. O conceito de cibercriminalidade e conceitos relacionados

2.2. Classificação das formas de cibercriminalidade

Creio que se quisermos abordar a questão do crime cibernético, seria apropriado pelo menos definir os parâmetros que delimitam este crime. No final deste subcapítulo, quero apresentar ao leitor algumas classificações de crimes cibernéticos (ou informáticos) tal como são percebidos pelas diferentes regras processuais e por vários autores ou organizações que estão envolvidos na luta contra o crime cibernético. Quero também demonstrar nestas categorias a génese da visão da questão do cibercrime.

1.   Classificação de acordo com a Convenção sobre Cibercriminalidade e de acordo com o Protocolo Adicional.

A Convenção sobre o Cibercrime divide o cibercrime em quatro categorias:

1.   Ofensas contra a confidencialidade, integridade e disponibilidade de dados e sistemas informáticos,

2.   Infracções relacionadas com a informática,

3.   Infracções relacionadas com o conteúdo,

4.   Infracções relacionadas com a violação dos direitos de autor e direitos conexos.

O Protocolo Adicional define então outros cibercrimes:

1.   Divulgação de material racista e xenófobo através de sistemas informáticos,

2.   Ameaça de motivação racista e xenófoba,

3.   Insulto de motivação racista e xenófoba,

4.   Negação, minimização grosseira, aprovação ou justificação de genocídio ou crimes contra a humanidade.

2. Classificação do Comité de Peritos sobre o Crime no Ciberespaço

De acordo com o Estatuto do Comité de Peritos sobre o Crime no Ciberespaço do Conselho da Europa de 2000, o crime cibernético pode ser dividido em:

1.   De acordo com a posição do computador ao cometer um crime:

-       alvo do ataque;

-       meios (ferramenta) do ataque.

2.   De acordo com o tipo de acto:

-       infracções tradicionais (tais como contrafacção, etc.)

-       novas infracções (tais como phishing, DDoS, etc.)

3. Classificação de acordo com a eEurope+

Este documento dividiu os crimes informáticos em:

1.   Crimes que violam a privacidade

-       Recolha, armazenamento, modificação, divulgação e divulgação ilegais de dados pessoais.

2.   Crimes relacionados com conteúdo informático

-       Pornografia infantil, racismo, incitamento à violência, etc.

3.   Económico

-       Acesso não autorizado, sabotagem, hacking, transmissão de vírus, espionagem informática, falsificação informática e fraude.

4.   Crimes relacionados com a propriedade intelectual[1]

4.classificação da criminalidade informática de acordo com a criminologia

Porada a Konrád[2] divide o cibercrime em cinco grupos básicos.

1.   Alteração não autorizada de dados introduzidos

-       alteração do documento de entrada para processamento informático,

-       criação de um documento contendo dados falsos para posterior tratamento de dados por computador,

2.   Alterações não autorizadas aos dados armazenados

-       manipulação de dados, adulteração não autorizada dos mesmos e posterior regresso ao normal,

3.   Instruções não autorizadas para operações informáticas

-       instrução directa para executar a operação ou para instalar o software que executa as operações automaticamente,

4.   Intrusão não autorizada em computadores, sistema informático e respectivas bases de dados

-       acesso informativo à base de dados, sem a utilização de informação,

-       utilização não autorizada de informações para uso pessoal,

-       alterações, destruição ou substituição de informação por outros,

-       intercepção" ilegal e registo do tráfego de comunicações electrónicas,  

5.   Ataque do computador, software e ficheiros e dados de outrem em bases de dados

-       criação de programas de ataque,

-       introdução de um vírus no software informático,

-       infecção por vírus ou outros programas.

5.O foco da Europol em certos tipos de cibercrime por gravidade

A Europol respeita a Convenção sobre a Criminalidade Cibernética e cumpre a repartição das infracções nela contidas. O Centro Europeu do Cibercrime (EC3)[3] foi criado no seio da Europol para apoiar a luta contra a cibercriminalidade e assistir os Estados-Membros. Esta equipa declarou claramente o seu âmbito de actividade na luta contra a cibercriminalidade e identificou as três áreas seguintes (pontos focais - PF) de que trata:

1.   FP TERMINAL - Fraude de pagamento. Um grupo dedicado à prestação de apoio em matéria de fraude em linha.

2.   FP Cyborg - Crimes de alta tecnologia. Um grupo dedicado e que presta apoio a vários ciberataques que afectam infra-estruturas críticas[4] e sistemas de informação. Em particular, estes são ataques tais como: malware, resgates, hacking, phishing, roubo de identidade, etc.

3.   Gémeos FP - Exploração Sexual Infantil. Um grupo dedicado e que presta apoio na investigação do abuso sexual de crianças.

6.   Classificação do cibercrime de acordo com a sua "relação" com o ambiente digital

Com o desenvolvimento da cibercriminalidade como tal, nos últimos anos, surgiu uma opinião que propõe a possibilidade de ver a cibercriminalidade como um acto que poderia ser descrito como cibercrime "puro" ou "genuíno". Apenas os ciberataques que tiveram lugar no ciberespaço e cujo objectivo e ferramenta era um sistema informático ou dados poderiam ser subsumidos sob tal conduta. Tipicamente, estes são ataques identificados como hacking, DoS, ataques DDoS, ataques a infra-estruturas críticas, etc.

Outros crimes cometidos no ambiente do ciberespaço só são considerados como a transferência de conduta criminosa "antiga" ou "ordinária" para o novo ambiente digital.

De acordo com a divisão acima referida, seria então possível compreender a cibercriminalidade numa

-       Conceito estreito ("puro" cibercrime);

-       Conceito amplo (conduta criminosa "ordinária" num novo ambiente).

Outras classificações possíveis de cibercriminalidade

Existem muitos outros métodos de classificação, para ilustrar outra possível divisão da cibercriminalidade.[5]

Neste ponto, gostaria de mencionar a minha classificação baseada nas minhas próprias descobertas obtidas especialmente na interpretação da cibercriminalidade em vários seminários ou conferências.

De uma forma simplificada, pode afirmar-se que o cibercrime pode ser visto de três perspectivas:

1.   De acordo com a frequência (natureza) dos ataques:

a)    violação de direitos de autor (ver pirataria na Internet (informática). No ciberespaço, prevalece este acto que envolve a violação da propriedade intelectual. Os esforços para combater este fenómeno são particularmente evidentes por parte das organizações privadas de direitos de autor. );

b)    outros ciberataques (ver manifestações de cibercriminalidade. Excepto a pirataria na Internet (informática)).

2.   De acordo com a punibilidade pelo direito penal:

a)    conduta resolvida pelo direito penal - alguns dos actos mencionados são subsuficientes sob o elemento objectivo do crime;

b)    conduta não abordada (impune) pelo direito penal - alguns dos actos mencionados não podem ser incluídos nos elementos objectivos legais da infracção penal, mesmo utilizando uma analogia admissível[6] .).

3.   De acordo com o grau de tolerância da sociedade maioritária:

a)    conduta tolerada pela sociedade (a conduta de violação dos direitos de autor é mais tolerada);

b)    conduta não aceite pela sociedade (por exemplo, pornografia infantil, etc.).


[1]Para mais detalhes: JIROVSKÝ, Václav. Kybernetická kriminalita nejen o hackingu, crackingu, virech a trojských koních bez tajemství. Praga: Grada, 2007, p. 92

[2]Para mais detalhes: STRAUS, Jiří et al. Kriminalistická metodika. Plzeň: Aleš Čeněk, 2006, pp. 272-274

[3]Combate ao Cibercrime na Era Digital. [online]. [cit.7.5.2018]. Disponível a partir de: https://www.europol.europa.eu/ec3

[4] Relativamente à definição do termo infra-estrutura crítica, na República Checa (no caso do ciberespaço) é necessário proceder a partir da Lei sobre Cibersegurança e sobre a alteração de actos relacionados (Lei sobre Cibersegurança). A seguir referida como a Lei de Segurança Cibernética, ou AoCS. Na Secção 2 (b), esta lei define o termo de infra-estrutura de informação crítica e o elemento ou sistema de infra-estrutura crítica.

A definição do termo "infra-estrutura de informação crítica" baseia-se na legislação que rege a área da gestão de crises. A infra-estrutura de informação crítica é uma parte da infra-estrutura crítica, que é definida pela Lei n.º 240/2000 Sb., sobre gestão de crises e sobre alterações a certas leis (Lei de Crise), tal como alterada (doravante referida como a "Lei de Gestão de Crises"). Para ser incluído na infra-estrutura de informação crítica, um determinado sistema ou serviço de informação e rede de comunicações electrónicas deve satisfazer os critérios de definição da infra-estrutura crítica, bem como o elemento de infra-estrutura crítica definido pela Lei de Gestão de Crises e os critérios transversais e específicos de cada ramo estabelecidos pelo Decreto Governamental n.º 432/2010 Sb., sobre os Critérios para a Determinação do Elemento de Infra-estrutura Crítica.

O ponto VI foi inserido nos critérios específicos do ramo para determinar o elemento crítico da infra-estrutura desde a eficácia do acto e da ciber-segurança. "Sistemas de comunicação e informação", G: ciber-segurança. Os critérios específicos do ramo para a identificação de um dado sistema de informação, serviço ou rede de comunicações electrónicas por uma infra-estrutura de informação crítica são aqui estabelecidos.

No entanto, esta definição aplica-se apenas à área da ciber-segurança. Em geral, é possível definir infra-estruturas críticas da seguinte forma:

1.   Infra-estrutura crítica significa um elemento de infra-estrutura crítica ou um sistema de elementos de ruptura de infra-estrutura crítica, cuja função teria um impacto significativo na segurança do Estado, na satisfação das necessidades básicas de vida da população, na saúde humana ou na economia do Estado.

2.   Elemento de infra-estrutura crítica significa um edifício, instalação, ferramenta ou infra-estrutura pública determinada de acordo com critérios transversais e sectoriais, que são estabelecidos pelo Decreto Governamental n.º 432/2010 Sb., sobre os Critérios de Determinação do Elemento de Infra-estrutura Crítica.

3.   O critério transversal para determinar o elemento crítico da infra-estrutura é o aspecto de

a) vítimas com um limiar de mais de 250 mortes ou mais de 2.500 pessoas com hospitalização subsequente por mais de 24 horas,

(b) um impacto económico com um limiar de perda económica do Estado superior a 0,5% do produto interno bruto, ou

(c) Um impacto no público com um limiar de restrição em grande escala na prestação de serviços essenciais ou outras interferências graves na vida quotidiana de mais de 125.000 pessoas.

[5] Cf. PROSISE, Chris e Kevin MANDIVA. Incident Response & Computer Forensic, segunda edição. Emeryville: McGraw-Hill, 2003, p. 22 e seguintes.

Depois, por exemplo, o Crime Cibernético. [online]. [cit.1.2.2015]. Disponível em: http://www.britannica.com/EBchecked/topic/130595/cybercrime/235699/Types-of-cybercrime; etc.

[6]Analogia significa a inclusão de um caso não explicitamente declarado no direito penal ao abrigo de uma disposição estatutária semelhante, especificada na lei. Em contraste com a interpretação mais ampla, uma disposição é utilizada por analogia que, segundo o seu significado, não se aplica ao caso subsumido. Uma interpretação mais ampla é feita de acordo com a finalidade da lei penal e dentro dos seus limites, enquanto que a analogia ultrapassa estes limites imaginários. Utilizando uma analogia, são preenchidas lacunas nas leis. Trata de casos que um legislador não regulamentou através de uma norma legal. No contexto checo e português, não podem ser utilizadas em detrimento de um infractor (in malam partem).