Detecção e prevenção de ameaças cibernéticas: Cibercrime em documentos internacionais e da CE/UE

3. Protecção penal contra a cibercriminalidade

3.1. Cibercrime em documentos internacionais e da CE/UE

A Convenção sobre o Cibercrime e o seu Protocolo Adicional associado devem ser mencionados em primeiro lugar, uma vez que estes são os dois documentos legais mais importantes que contribuem para a protecção da sociedade contra o cibercrime, estabelecendo um quadro básico para o cibercrime e fornecendo ao mesmo tempo os meios para o detectar e investigar. Serão igualmente apresentados documentos jurídicos da UE e da CE relacionados com a cibercriminalidade.

3.1.1 Convenção nº 185 do Conselho da Europa sobre Cibercriminalidade

A Convenção sobre o Cibercrime é o documento jurídico mais importante sobre o crime cibernético. O seu principal objectivo é unificar a legislação nacional no domínio da cibercriminalidade. O acima exposto é implementado pelo facto de a Convenção sobre o Cibercrime obrigar as partes contratantes a implementar nos sistemas jurídicos nacionais tais instrumentos que permitirão a punição de crimes cibernéticos definidos. É a definição completa do elemento objectivo do crime que constitui uma condição para a utilização das regras do direito penal no ciberespaço. Além disso, a Convenção sobre o Cibercrime cria um quadro jurídico para uma acção uniforme e conjunta contra os autores destes crimes, independentemente do local onde o crime foi cometido.

A Convenção sobre o Cibercrime foi aprovada pelo Comité de Ministros do Conselho da Europa na sua 109ª reunião de 8^th de Novembro de 2001. A Convenção sobre o Cibercrime foi aberta à assinatura a 23^rd de Novembro de 2001 em Budapeste.[1] Esta convenção entrou em vigor a 1^st de Julho de 2004.

A República Checa assinou a Convenção sobre o Cibercrime a 9^th de Fevereiro de 2005 e ratificou-a a 22^nd de Agosto de 2013, entrando em vigor a 1^st de Dezembro de 2013, enquanto Portugal a assinou no primeiro dia, mas só a ratificou a 24^th de Março de 2010, entrando em vigor a 1^st de Julho seguinte. Os Estados-Membros da UE comprometeram-se a ratificar a Convenção sobre o Cibercrime e a incorporar tais disposições nos seus sistemas jurídicos, o que tornaria possível esclarecer e investigar a referida actividade criminosa.[2] A Convenção sobre o Cibercrime também foi assinada e ratificada, por exemplo, pelos Estados Unidos, Japão e outros.

A Convenção sobre o Cibercrime[3] é constituída por um preâmbulo e 48 artigos, que se dividem em 4 capítulos:

1. Utilização de termos

2. Medidas a tomar a nível nacional

Parte 1 - Direito penal substantivo (Artigos 2-13)

Parte 2 - Direito processual (Artigos 14-21)

Parte 3 - Jurisdição (Artigo 22)

3. Cooperação internacional

Parte 1 - Princípios gerais (artigos 23-28)

Parte 2 - Disposições específicas (artigos 29º-35º)

4. Disposições finais

Um passo importante para a unificação do direito é a definição de quatro grupos básicos de infracções penais (ver Capítulo II; Artigos 2-13) e a ancoragem de outros institutos gerais de direito penal substantivo. É a definição uniforme (denominação) dos ciberataques que permitirá a sua repressão mais eficaz nos países que ratificaram a Convenção sobre a Criminalidade Cibernética. Em particular:

1) Ofensas contra a confidencialidade, integridade e disponibilidade de dados e sistemas informáticos. (Artigos 2-6),

2) Infracções relacionadas com a informática. (Artigos 7-8),

3) Infracções relacionadas com o conteúdo. (Artigo 9º),

4) Infracções relacionadas com a violação dos direitos de autor e direitos conexos. (Artigo 10º).

Em termos de princípios gerais substantivos, Tentativa e auxílio ou cumplicidade. (Artigo 11º) e a responsabilidade das empresas por uma infracção penal ao abrigo da Convenção sobre a Cibercriminalidade são definidos com mais pormenor.

3.1.2 Protocolo Adicional nº 189 do Conselho da Europa à Convenção sobre a Cibercriminalidade

O Protocolo Adicional nº 189 do Conselho da Europa sobre a Convenção sobre a Cibercriminalidade[4] , adoptado em 28^th Janeiro 2003[5] define o leque de infracções que não são abrangidas pela Convenção sobre a Cibercriminalidade. A Convenção sobre a Criminalidade Cibernética não abrange as infracções relacionadas com a divulgação de determinado "material nocivo".[6] O Protocolo Adicional define as infracções penais que consistem principalmente na divulgação de material que contém material racista, xenófobo ou que de outra forma manifesta intolerância racial. A razão para não incluir os crimes em questão na Convenção sobre Cibercriminalidade foi, em particular, a assinatura e subsequente aceitação da Convenção sobre Cibercriminalidade pelos EUA.[7]

O Protocolo Adicional é constituído por um preâmbulo e 16 artigos, que estão divididos em 4 capítulos:

1. Disposições comuns

2. Medidas a tomar a nível nacional

- Artigo 3 - Divulgação de material racista e xenófobo através de sistemas informáticos

- Artigo 4 - Ameaça de motivação racista e xenófoba

- Artigo 5 - Insulto de motivação racista e xenófoba

- Artigo 6 - Negação, minimização grosseira, aprovação ou justificação de genocídio ou crimes contra a humanidade

3. Relação entre a Convenção sobre Cibercriminalidade e o Protocolo Adicional

4. Disposições finais

O primeiro capítulo regula o objectivo do Protocolo Adicional e define o termo - material racista e xenófobo. De acordo com o Artigo 1 (1) do Protocolo Adicional, material racista e xenófobo significa "qualquer material escrito, imagem ou outra expressão de ideias ou teorias que defenda, encoraje ou incite ao ódio, discriminação ou violência contra qualquer indivíduo ou grupo de indivíduos, com base na raça, cor, sexo ou origem nacional ou étnica, bem como religião, se usado como desculpa em vez de um destes atributos. "

3.1.3 Documentos UE/CE utilizados para harmonizar a legislação na luta contra a cibercriminalidade

Em particular, devido à natureza específica da cibercriminalidade e à necessidade de uma cooperação internacional eficaz, a UE procura aproximar as legislações de cada Estado-Membro para que este fenómeno negativo possa ser processado de forma mais eficaz. As decisões-quadro, directivas e outros documentos da UE/CE são principalmente um meio de se alinharem com a legislação de cada país da UE. Do ponto de vista da luta contra o cibercrime, os documentos mais importantes são os seguintes:

· Directiva 91/250/CEE do Conselho relativa à protecção jurídica dos programas de computador

· Decisão 92/242/CEE do Conselho relativa à segurança dos sistemas de informação

· Directiva 98/34/CE do Parlamento Europeu e do Conselho relativa ao procedimento de informação no domínio das normas e regulamentações técnicas, com a redacção que lhe foi dada pela Directiva 98/48/CE

· Directiva 2000/31/CE relativa a certos aspectos legais dos serviços da sociedade de informação, em especial do comércio electrónico, no mercado interno ("Directiva sobre o comércio electrónico")

· Decisão-quadro 2000/375/JAI do Conselho relativa ao combate à pornografia infantil na Internet

· Directiva 2002/21/CE do Parlamento Europeu e do Conselho relativa a um quadro regulamentar comum para as redes e serviços de comunicações electrónicas (directiva-quadro)

· Directiva 2002/19/CE do Parlamento Europeu e do Conselho relativa ao acesso e interligação de redes de comunicações electrónicas e recursos conexos (Directiva Acesso)

· Directiva 2002/20/CE do Parlamento Europeu e do Conselho relativa à autorização de redes e serviços de comunicações electrónicas (Directiva "Autorização")

· Directiva 2002/22/CE do Parlamento Europeu e do Conselho relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações electrónicas (Directiva Serviço Universal)

· Directiva 2002/58/CE do Parlamento Europeu e do Conselho relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à protecção dos dados nas comunicações electrónicas)

· Directiva 2002/77/CE da Comissão relativa à concorrência nos mercados de redes e serviços de comunicações electrónicas (Directiva Concorrência)

· Decisão-Quadro 2002/584/JAI do Conselho da UE relativa ao mandado de detenção europeu e aos processos de entrega entre os Estados-Membros

· Decisão-Quadro 2004/68/JAI do Conselho relativa à luta contra a exploração sexual de crianças e a pornografia infantil

· Decisão-quadro 2005/222/JAI do Conselho relativa a ataques contra os sistemas de informação

· Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social e ao Comité das Regiões - Luta contra o spam, o spyware e o software malicioso de 15 de Novembro de 2006

· Comunicação da Comissão ao Parlamento Europeu, ao Conselho e ao Comité Europeu das Regiões sobre uma política geral de luta contra a cibercriminalidade, de 22 de Maio de 2007

· Conclusões do Conselho sobre uma estratégia de trabalho comum e medidas concretas para combater a cibercriminalidade, de 27 de Novembro de 2008

· Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões sobre a protecção das infra-estruturas críticas da informação "Proteger a Europa contra os ciberataques e intrusões em grande escala: reforçar a preparação, a segurança e a resiliência", de 30 de Março de 2009

· Comunicação da Comissão ao Conselho e ao Parlamento Europeu, Combate à criminalidade na era digital: criação do Centro Europeu do Cibercrime. 2012

· Regulamento (UE) n.º 526/2013 do Parlamento Europeu e do Conselho relativo à Agência Europeia para a Segurança das Redes e da Informação (ENISA) e que revoga o Regulamento (CE) n.º 460/2004 de 21 de Maio de 2013

· Directiva 2013/40/UE do Parlamento Europeu e do Conselho relativa aos ataques contra os sistemas de informação e que substitui a Decisão-Quadro 2005/222/JAI do Conselho, de 12 de Agosto de 2013

· Regulamento (UE) n.º 513/2014 do Parlamento Europeu e do Conselho que estabelece, no âmbito do Fundo de Segurança Interna, um instrumento de apoio financeiro à cooperação policial, à prevenção e à luta contra a criminalidade e à gestão de crises e que revoga a Decisão 2007/125/JAI do Conselho, de 16 de Abril de 2014

· Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho relativo aos serviços electrónicos de identificação e de confiança para transacções electrónicas no mercado interno e que revoga a Directiva 1999/93/CE de 23 de Julho de 2014 (Regulamento eIDAS, ou Regulamento eIDAS)

· Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho relativo à Agência Europeia de Cooperação Judiciária (Europol) e que revoga e substitui a Decisão 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI e 2009/968/JAI, de 11 de Maio de 2016

· Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Directiva 95/46/CE (Regulamento Geral sobre a Protecção de Dados)

· Directiva do Parlamento Europeu e do Conselho (UE) 2016/1148, relativa a medidas destinadas a assegurar um elevado nível comum de segurança das redes e sistemas de informação na União, de 6 de Julho de 2016 (Directiva SRI)

· Directiva do Parlamento Europeu e do Conselho (UE) 2019/713 relativa ao combate à fraude e à contrafacção de meios de pagamento que não em numerário e que substitui a Decisão-Quadro 2001/413/JAI do Conselho, de 17 de Abril de 2019

Conclusões do Conselho sobre uma estratégia de trabalho comum e medidas concretas para combater a cibercriminalidade, de 27 de Novembro de 2008
Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões sobre a protecção das infra-estruturas críticas da informação "Proteger a Europa contra os ciberataques e intrusões em grande escala: reforçar a preparação, a segurança e a resiliência" de 30 de Março de 2009

3.1.4 Normas legais da República Checa

Em relação ao cibercrime e à ciber-segurança, é necessário mencionar as normas legais da República Checa, que estão directamente relacionadas com esta questão:

· Lei n.º 40/2009 Sb., Código Penal

· Lei n.º 141/1961 Sb., sobre os procedimentos judiciais penais

· Lei n.º 218/2003 Sb., Lei sobre Justiça Juvenil

· Lei n.º 121/2000 Sb., Lei dos Direitos de Autor

· Lei n.º 127/2005 Sb., sobre Comunicações Electrónicas

· Lei n.º 480/2004 Sb., sobre certos serviços da sociedade da informação

· Lei n.º 273/2008 Sb., sobre a Polícia da República Checa

· Lei n.º 89/2012 Sb., Código Civil

· Lei n.º 110/2019 Sb., sobre o Tratamento de Dados Pessoais

· Lei n.º 14/1993 Sb., sobre Medidas para a Protecção da Propriedade Industrial

· Lei n.º 441/2003 Sb., sobre Marcas

· Lei n.º 527/1990 Sb., sobre Invenções, Desenhos Industriais e Propostas de Melhoramento

· Lei n.º 300/2008 Sb., sobre Leis Electrónicas e Conversão Autorizada de Documentos, com as alterações que lhe foram introduzidas

· Lei n.º 297/2016 Sb., sobre Serviços Criação de Confiança para Transacções Electrónicas

· Lei n.º 160/1999 Sb., sobre o livre acesso à informação

· Lei n.º 181/2014 Sb., sobre Ciber-segurança e emendas a leis conexas (Lei sobre Ciber-segurança)

3.1.5 Normas legais da Polónia

Na lei polaca, os principais regulamentos relativos ao cibercrime são:

· Acesso ilegal a um sistema (hacking) - Arte. 267 § 1 e 2 do Código Penal. Este crime é processado a pedido da parte lesada. São puníveis com uma multa, restrição da liberdade ou prisão até 2 anos.

· Quebra do segredo da comunicação (sniffing) - arte. 267 § 3 do Código Penal. Este tipo de crime consiste na obtenção de informações confidenciais, por exemplo através de sniffers, ou seja, programas que interceptam dados (palavras-passe e identificações de utilizadores). Tal acto é punível com uma pena de prisão até 2 anos.

· Violação da integridade dos dados (vírus, trojans), 268 do Código Penal, Arte. 268 a do Código Penal. Esta infracção diz respeito, nomeadamente, ao roubo de dados pessoais, à sua disponibilização a terceiros sem o consentimento do proprietário, bem como à sua utilização de forma não autorizada. Existem sanções financeiras (até PLN 100.000) pela prática destes actos.

· Violação da integridade do sistema - Arte. 269 do Código Penal. Um exemplo de tal crime são os ataques de inundação Ping, que consistem em sobrecarregar a ligação à Internet. Podem, por exemplo, levar à indisponibilidade de certos serviços. O legislador polaco previu uma pena máxima para este acto de até 8 anos de prisão (em caso de violação da segurança do Estado).

· Artesanato "ferramentas de hacking" - Arte. 269 a do Código Penal, Art. 269 b do Código Penal. A prática desta infracção é punível com uma pena de 3 meses a 5 anos de prisão.

· Lei de 5 de Julho de 2018 sobre o sistema nacional de ciber-segurança.

3.1.6 Normas legais de Portugal

Em relação à cibercriminalidade e à cibersegurança, em Portugal estão em vigor os seguintes actos jurídicos, vários deles repetidamente tentados:

· Lei n.º 109/2009, a Lei sobre o Cibercrime

· Decreto-Lei nº 48/95, o Código Penal

· Lei nº 103/2015, sobre o registo criminal dos delinquentes condenados por delitos de autodeterminação sexual de menores

· Lei nº 52/2003, sobre a luta contra o terrorismo

· Lei nº 58/2019, sobre a protecção de dados, incluindo as jantes conexas

· Lei nº 59/2019, relativa ao tratamento de dados pessoais para efeitos de prevenção, detecção, investigação ou repressão de infracções penais ou de execução de sanções penais, incluindo crimes conexos

· Lei n.º 32/2008, relativa à conservação dos dados gerados ou tratados no âmbito da prestação de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações

· Decreto-Lei nº 131/2014, sobre a protecção e confidencialidade da informação genética, bases de dados genéticos humanos para fins de cuidados de saúde e investigação sanitária

· Decreto-Lei nº 63/85, o Código dos Direitos de Autor e Direitos Conexos

· Decreto-Lei nº 252/94, sobre programas informáticos

· Decreto-Lei nº 110/2018, o Código da Propriedade Industrial

· Decreto-Lei nº 122/2000, sobre bases de dados

· Lei n.º 46/2018, sobre a segurança do ciberespaço

· Decreto-Lei n.º 65/2021, que regulamenta a Lei n.º 46/2018

· Decreto-Lei n.º 62/2011, sobre infra-estruturas críticas

· Lei nº 5/2004, sobre comunicações electrónicas

· Lei n.º 41/2004, sobre privacidade e protecção de dados nas comunicações electrónicas

· Lei nº 26/2016, sobre o acesso à informação administrativa

· Decreto-Lei nº 7/2004, sobre os serviços da sociedade da informação

· Decreto-Lei nº 12/2021, sobre identificação electrónica e serviços de confiança

· Lei n.º 7/2007, sobre o cartão de cidadão

· Lei n.º 37/2014, sobre a chave móvel digital

· Decreto-Lei n.º 91/2018, sobre serviços de pagamento e dinheiro electrónico

· Decreto-Lei nº 69/2014, que aprova a constituição do Centro Nacional de Ciber-Segurança

3.1.7 O cibercrime numa parte especial do Código Penal

Do ponto de vista da cibercriminalidade, o Código Penal contém elementos objectivos especiais de infracções penais, que se centram na cibercriminalidade, ou em alguns ciberataques.

O cibercrime é geralmente classificado em termos de utilização das tecnologias da informação e da comunicação em infracções penais quando estes elementos são utilizados como instrumento para cometer uma infracção penal e o elemento objectivo da infracção penal inclui a utilização destes meios como característica do elemento objectivo, e infracções penais quando elementos das tecnologias da informação e da comunicação são alvo de ataque de um infractor, ou seja, representam um objecto individual ou material objecto de ataque.

O legislador incluiu numa parte especial do Código Penal uma série de elementos objectivos de infracções penais, que ou contêm características relacionadas com as tecnologias de informação e comunicação ou podem ser preenchidas com um ataque cibernético. Estas infracções incluem:

- Secção 180 Manipulação ilícita de dados pessoais

- Secção 181 Violação dos direitos de outrem

- Secção 182 Violação do Sigilo da Correspondência

- Secção 183 Violação da confidencialidade de ficheiros e outros documentos privados

- Secção 184 Difamação

- Secção 191 Distribuição de Pornografia

- Secção 192 Produção e Manuseamento de Pornografia Infantil

- Secção 193 Abuso de uma Criança para Produção de Pornografia

- Secção 193b Estabelecimento de Contactos Ilegais com uma Criança

- Secção 205 Roubo

- Secção 206 Uso Não Autorizado de Propriedade de outrem

- Secção 209 Fraude

- Secção 213 Prática de Jogos e Apostas Desleais

- Secção 214 Participação

- Secção 216 Lavagem de dinheiro

- Secção 228 Danos a terceiros

- Secção 230 Acesso não autorizado a sistemas informáticos e meios de informação

- Secção 231 Obtenção e Posse de Dispositivos de Acesso e Senhas de Sistemas Informáticos e outros dados deste tipo

- Secção 232 Danos a Sistemas Informáticos e Registos de Meios de Informação e Interferência com Equipamento Informático por Negligência

- Secção 234 Obtenção Não Autorizada, Falsificação e Alteração de Meios de Pagamento

- Secção 236 Fabrico e Posse de Equipamento Falsificado

- Secção 264 Distorção de Dados e Falta de Registos de Exportação de Bens e Tecnologias de Dupla Utilização

- Artigo 268º Violação dos Direitos de Marca e Direitos a Outros Nomes

- Secção 267 Distorção de Dados e Falta de Registos de Comércio Externo com Material Militar

- Secção 269 Violação dos Direitos Económicos Protegidos

- Secção 270 Violação dos Direitos de Autor, Direitos Relacionados com os Direitos de Autor e Direitos a Bases de Dados

- Secção 272 Ameaça Pública

- Secção 276 Danos e Compromisso de Funcionamento de Facilidade Beneficiária Pública

- Secção 287 Propagação da Toxicodependência

- Secção 290 Ganho de Controlo sobre uma Aeronave, Embarcações Civis e Plataforma Fixa

- Secção 291 Pôr em perigo a segurança de um avião e de uma embarcação civil

- Secção 311 Ataque Terrorista

- Secção 316 Espionagem

- Secção 317 Informação Classificada em Perigo

- Secção 345 Acusação Falsa

- Secção 348 Falsificação e alteração de documentos públicos

- Secção 353 Ameaça Perigosa

- Secção 354 Perseguição Perigosa

- Secção 355 Difamação de Nação, Raça, Étnia ou outro Grupo de Pessoas

- Secção 356 Instigação do ódio contra um grupo de pessoas ou da supressão dos seus direitos e liberdades

- Secção 357 Disseminação de Hoaxes

- Secção 361 Participação em Grupo Penal Organizado

- Secção 364 Incitação à ofensa criminal

- Secção 365 Aprovação de Infracção Penal

- Secção 400 Genocídio

- Secção 403 Estabelecimento, Apoio e Promoção de Movimentos Destinados à Supressão dos Direitos Humanos e Liberdades

- Secção 404 Expressão de Simpatias para Movimentos em Busca da Supressão dos Direitos Humanos e Liberdades

- Secção 405 Negação, Concurso, Aprovação e Justificação do Genocídio

- Secção 407 Incitação de guerra ofensiva

Segundo o Código Penal, estes cibercrimes podem ser classificados de acordo com muitos critérios diferentes. Uma das classificações mais utilizadas de crimes cibernéticos é a classificação acima mencionada:[8]

a) infracções penais em cuja prática os meios de informação e comunicação são objecto de protecção (ou seja, que são alvo de um ciberataque):