O
desenvolvimento da cooperação internacional no combate ao cibercrime
Maria Inês Lima, nº
24020
4º Ano, Turma A,
Subturma 8
Nas últimas décadas, temos
assistido a um aumento exponencial do uso da Internet e do desenvolvimento de
novas tecnologias da informação e comunicação (TIC), que vieram introduzir
profundas alterações no quotidiano da sociedade atual.
Apesar
dos inúmeros benefícios, fruto da constante troca de informação e interligação
digital em que se baseia hoje o desenvolvimento da vida social e económica –
como a notória evolução dos setores da Ciência, da Saúde, da Educação, da
Comunicação e do Comércio – também, a preocupação com os desafios que a maior
exposição resultante desta evolução apresenta tem vindo a crescer.
De
facto, com o aumento do número de utilizadores e a incessante circulação de
dados, registou-se também o aumento do número de crimes perpetrados através de,
ou contra, sistemas informáticos. Atendendo à frequência com que ocorrem este
tipo de crimes – por via de meios eletrónicos – e à gravidade dos danos que
provoca, em grande escala e além-fronteiras, a intervenção do Direito torna-se
uma necessidade cada vez mais premente para dar resposta aos problemas que
advêm da crescente utilização da Internet e das TIC.
O
primeiro desafio, atinente ao desenvolvimento de políticas de segurança neste
âmbito coloca-se, desde logo, em relação à própria definição dos conceitos de ciberespaço,
cibersegurança ou cibercrime. Apesar de não existir um consenso universalmente
aceite sobre esta matéria, podemos entender que o ciberespaço se refere ao
conjunto de ligações efetuadas entre objetos, através de uma rede de
telecomunicações geral, e ao conjunto desses mesmos objetos que permitem o seu
próprio controlo remoto, o acesso remoto a dados e a sua participação em ações
de controlo dentro desse ciberespaço.[1]
A
cibersegurança irá então referir-se às medidas impostas sobre controlo e
segurança deste ciberespaço, nomeadamente a prevenção de incidentes que possam
pôr em causa a segurança dos Estados-membros, dos seus cidadãos e das
infraestruturas críticas de informação (ICI) de que dependem hoje em dia.
Foram
várias as tentativas de definir o conceito de cibercrime, cibercriminalidade ou
crime informático. Não havendo consenso sobre uma definição concreta deste
termo, o método mais adequado para executar esta tarefa será o de considerar
“Cibercrime” um conjunto variado de atos ou condutas criminosas classificadas
com base em características gerais (como o objeto ou o modus operandi), contrariando a tentativa de encontrar um
determinado tipo de atos que se possam enquadrar na hipotética descrição de
Cibercrime. [2]
Em
2007, a Comissão reconheceu a “ausência de uma definição consensual de
cibercrime” [3], e
propõe a qualificação do termo como “os atos criminosos praticados com recurso
a redes de comunicações eletrónicas e sistemas de informação ou contra este
tipo de redes e sistemas”, distinguindo, posteriormente, três categorias de
atividades criminosas abrangidas por esta conceção. Assim, incluídos neste
conceito estariam (i) os crimes tradicionais, quando sejam cometidos através do
uso de meios informáticos – como por exemplo, a fraude ou a falsificação,
injúrias, difamação, roubo de identidade, entre outros –, sendo que a diferença
reside apenas no meio utilizado para a prática do ato; (ii) os crimes de
publicação de conteúdo ilícito em meios de comunicação eletrónicos,
caracterizados pela especificidade do meio (como o incitamento ao ódio racial e
a pornografia infantil em linha); e (iii) os crimes informáticos propriamente
ditos, que consistem em ataques a sistemas informáticos (através de malware), pirataria, bloqueio de
serviços ou o acesso ilegítimo.[4] [5]
A
referida definição apresentada para o termo “Cibercrime” tem sido amplamente
aceite no seio da União Europeia como conceito genérico.
O
caráter transfronteiriço dos crimes praticados através da Internet dificulta a
atuação da maioria das autoridades nacionais competentes para a aplicação da
lei, sujeitas ao princípio da territorialidade. Como tal, torna-se necessário o
desenvolvimento da cooperação internacional para fazer face à utilização
indevida das funcionalidades do ciberespaço.
Assim,
a Organização das Nações Unidas (ONU) tem vindo a desenvolver diversas ações no
domínio do combate ao Cibercrime. Destaca-se a Resolução da Assembleia Geral
das Nações Unidas n.º 64/221 [6], de
21 de dezembro de 2009, sobre Cibersegurança, a Resolução n.º 56/121[7], de
23 de janeiro de 2002, e a Resolução n.º 55/63 [8], de 4 de dezembro de 2001,
referentes ao uso criminoso das tecnologias de informação, sendo que todas
partilham o mesmo objetivo de os Estados harmonizarem as suas legislações
nacionais e reforcem a cooperação internacional, garantindo assim a proteção da
confidencialidade, da integridade e do acesso aos dados.
A ONU tem igualmente abordado esta problemática nos Congressos de Prevenção do Crime e Justiça Criminal, com destaque para o 12º Congresso de Prevenção do Crime e Justiça Criminal, que se realizou em 2010, no Brasil. A Resolução nº 65/230 [9], de 21 de dezembro de 2010 que validou a Declaração de Salvador, resultante do Congresso em questão, requereu à UNODC (United Nations Office on Drug and Crime) que constituísse um grupo intergovernamental de peritos que realizasse um estudo sobre o problema do Cibercrime e, também, que esta prestasse assistência técnica aos Estados-Membros, promovendo o desenvolvimento das legislações nacionais, o aumento da segurança das redes informáticas e o reforço da capacidade das autoridades no combate ao Cibercrime. Em 2013, o “Comprehensive Study on Cybercrime”, publicado pela UNODC, evidenciou a fragmentação das legislações internacionais e as suas divergências, bem como a falta de harmonização das legislações nacionais e a sua insuficiência quanto à investigação do Cibercrime [10].
A ONU tem igualmente abordado esta problemática nos Congressos de Prevenção do Crime e Justiça Criminal, com destaque para o 12º Congresso de Prevenção do Crime e Justiça Criminal, que se realizou em 2010, no Brasil. A Resolução nº 65/230 [9], de 21 de dezembro de 2010 que validou a Declaração de Salvador, resultante do Congresso em questão, requereu à UNODC (United Nations Office on Drug and Crime) que constituísse um grupo intergovernamental de peritos que realizasse um estudo sobre o problema do Cibercrime e, também, que esta prestasse assistência técnica aos Estados-Membros, promovendo o desenvolvimento das legislações nacionais, o aumento da segurança das redes informáticas e o reforço da capacidade das autoridades no combate ao Cibercrime. Em 2013, o “Comprehensive Study on Cybercrime”, publicado pela UNODC, evidenciou a fragmentação das legislações internacionais e as suas divergências, bem como a falta de harmonização das legislações nacionais e a sua insuficiência quanto à investigação do Cibercrime [10].
Entre
os instrumentos vinculativos de Direito Internacional neste âmbito, destaca-se
a Convenção do Conselho da Europa sobre o Cibercrime. Esta Convenção foi o
primeiro tratado internacional sobre crimes cometidos via Internet e redes
informáticas e fundou as bases para os restantes acervos legislativos europeus
e nacionais.
Submetida
pelo Comité de Ministros do Conselho da Europa e aberta à assinatura a 23 de
novembro de 2001, em Budapeste, aquando da Conferência Internacional sobre a
Criminalidade, a Convenção entrou em vigor na ordem jurídica internacional a 1
de julho de 2004, após as cinco ratificações exigidas. Atualmente, conta com 50
assinaturas (a Rússia é o único Estado-Membro do Conselho da Europa que não a
assinou) das quais 4 correspondem a Estados não membros do Conselho da Europa[11]; e
com 61 ratificações[12]. A
Irlanda, São Marino, a Suécia e a África do Sul constituem o grupo de Estados
que assinaram a Convenção, mas não a ratificaram. Recentemente, foram
convidados a aderir a esta Convenção a Colômbia, o Gana, a Nigéria, o Peru e a
Tunísia, sendo este convite válido durante 5 anos [13].
Em
Portugal, a Convenção sobre o Cibercrime foi assinada a 23 de novembro de 2001,
tendo sido ratificada em 2009, entrando em vigor a 1 de Julho de 2010.[14]
Apesar
de reconhecer que “as medidas de caráter técnico que visam proteger os sistemas
informáticos deverão, pois, ser tomadas concomitantemente com medidas de
natureza jurídica a fim de evitar e deter a prática de crimes”[15], a
Convenção não apresenta medidas preventivas, reunindo apenas medidas de
repressão ao Cibercrime. O seu objetivo seria então o de “estabelecer uma
política criminal comum através da adoção de legislação adequada e da melhoria
da cooperação internacional” e da “cooperação entre os Estados e a indústria
privada (...), bem como a necessidade de proteger os interesses legítimos
ligados ao uso e desenvolvimento das tecnologias da informação”[16],
com respeito pelos direitos humanos consagrados em outros acordos
internacionais[17].
Por
via desta Convenção, visou-se a criminalização e penalização de comportamentos
específicos que têm por base a utilização fraudulenta de sistemas informáticos ou
a violação da confidencialidade, integridade e disponibilidade dos mesmos (do
Título 1 ao Título 4, este diploma tipifica como crime o acesso ilegítimo, a
burla informática, a difusão de pornografia infantil e a violação de direitos
de autor). As disposições de direito penal substantivo da Convenção foram, mais
tarde, complementadas pelo “Protocolo Adicional à Convenção sobre o Cibercrime
Relativo à Incriminação de Atos de Natureza Racista e Xenófoba Praticados
através de Sistemas Informáticos”, adotado em Estrasburgo a 28 de janeiro de
2003[18].
Consequentemente,
a nível processual foi tida em conta a desadequação das legislações nacionais,
tendo a Convenção adotado normas processuais que viessem facilitar a deteção,
investigação e o procedimento criminal dos comportamentos que visa
criminalizar, tanto a nível nacional como internacional. Porém, no seu artigo
15º, ao condicionar a aplicação do disposto na Convenção às condições e
salvaguardas estabelecidas por legislação nacional, nomeadamente no que diz respeito
à proteção dos direitos do Homem – na medida em que estes conformam o disposto
em outros instrumentos internacionais de proteção destes direitos –, o que
pretendia ser um balanço entre a proteção de direitos humanos e a harmonização
da lei, resultou numa ausência de proteção dos direitos humanos, já que os
países terceiros a quem a Convenção foi aberta podem não estar sujeitos às
mesmas regras ou partilhar da mesma base de proteção.
Por
fim, a Convenção estabelece um conjunto de disposições materiais para fomentar
a cooperação internacional e torná-la mais eficaz e fiável.
Já
no seio da União Europeia, destaca-se a Diretiva 2013/40/UE do Parlamento
Europeu e do Conselho relativa a ataques contra os sistemas de informação. Esta
diretiva foi adotada tendo em vista a prossecução da cooperação entre as
autoridades competentes[19] na
aplicação da lei, através da aproximação do direito penal dos Estados-Membros.
Inspirada na Convenção do Conselho da Europa sobre o Cibercrime, veio
substituir a Decisão-Quadro 2005/222/JAI do Conselho, alargando o seu âmbito.
Invocando
a crescente ameaça de ataques, perpetrados por organizações criminosas ou
terroristas, contra os sistemas informáticos que fazem parte das
infraestruturas críticas de informação (ICI) dos Estados-Membros e da União,
pondo em causa o espaço de liberdade, segurança e justiça [20], a União defende que
“assegurar um nível adequado de proteção dos sistemas de informação deverá ser
parte integrante de um quadro eficaz e exaustivo de medidas de prevenção que
acompanhe as respostas do direito penal à cibercriminalidade”[21].
Esta
Diretiva pretende estabelecer um conjunto de regras mínimas em relação às
infrações penais e respetivas sanções analisadas no âmbito da Convenção (nomeadamente
o acesso, a interferência e a interceção ilegal), tornar obrigatória a recolha
de dados estatísticos sobre ataques informáticos, combater a utilização de botnets[22]
e promover o contacto entre as autoridades.
Tal
como o instrumento antecedente, à luz da Convenção sobre o Cibercrime, esta
Diretiva foca-se em criminalizar apenas comportamentos intencionais e não
autorizados, referentes a atos que deverão corresponder a infrações penais de
grande gravidade e cujas consequências tenham uma incidência de grande escala.
Além disso, são estipuladas sanções mais severas para as infrações já previstas
na anterior Decisão-Quadro, especialmente em caso de as mesmas serem cometidas
por organizações criminosas.
O
artigo 14º da presente Diretiva que estipula a “criação de um sistema de
registo, produção e disponibilização de dados estatísticos” sobre as infrações
dispostas na mesma, a fim de promover a cooperação entre autoridades nacionais
e internacionais e permitir ter uma melhor perspetiva sobre a extensão do
Cibercrime, foi a grande inovação.
Concluindo,
quer a União Europeia como a ONU têm por objetivo o desenvolvimento da
cooperação internacional entre Estados-membros e entre estes e Estados
terceiros, visando a prevenção e diminuição dos incidentes de segurança assim
como das práticas criminosas nas redes e sistemas informáticos, através da
aproximação do direito penal dos Estados.
Todavia,
apesar de ser mais um passo para uma base jurídica uniforme entre os Estados
Membros, não deixamos de ter Estados-Membros com a sua própria tradição
legislativa, e por sua vez, com interesses próprios em manter a escassa
autonomia jurídica que lhes resta face a todo o “monopólio” que a União
Europeia tem vindo a consolidar sob os ordenamentos jurídicos dos seus
Estados-Membros. Na nossa opinião, é seguro afirmar que, por vezes, a
construção jurídica através da intervenção ativa da União Europeia leva a uma
maior desarmonia em termos de interesses subjacentes, todavia, o caso em apreço
é um desenvolvimento louvável, e releva uma enorme maturidade jurídica quer da
parte da União Europeia como dos Estados-Membros.
Bibliografia
- MARTINS, ANA MARIA GUERRA, in Os Desafios
Contemporâneos à Ação Externa da União Europeia – Lições de Direito
Internacional Público II, Almedina, 2018;
- VERDELHO, Pedro, Cibercrime, in Direito da Sociedade da Informação, vol. IV, Associação
Portuguesa do Direito Intelectual, Coimbra Editora, 2003;
-
European Union Agency For Network And Information Security, Definition of
Cybersecurity - Gaps and overlaps in standardization, 2015;
-
UNODC – United Nations Office on Drugs and Crime, Comprehensive Study on Cybercrime, [Em
linha], fevereiro de 2013,
disponível em
http://www.unodc.org/documents/organizedcrime/UNODC_CCPCJ_EG.4_2013/CYBERCRIME_STUDY_210213.pdf
[1] European Union Agency For
Network And Information Security, Definition of Cybersecurity - Gaps and
overlaps in standardization, 2015, p. 30
[2]
UNODC – United Nations Office on Drugs and Crime, Comprehensive Study on Cybercrime, [Em
linha],
fevereiro de 2013, p. 11. Disponível em
http://www.unodc.org/documents/organizedcrime/UNODC_CCPCJ_EG.4_2013/CYBERCRIME_STUDY_210213.pdf
[3] (COM (2007) 267 final),
Comunicação da Comissão ao Parlamento Europeu, ao Conselho e ao Comité das
Regiões, “Rumo a uma política geral de
luta contra o cibercrime”, Bruxelas, 22.5.2007, p. 1
[4] Idem, ibidem.
[5] VERDELHO, Pedro, Cibercrime, in Direito da Sociedade da Informação, vol. IV, Associação
Portuguesa do Direito Intelectual, Coimbra Editora, 2003, p. 348.
[6] Publicada em http://www.un.org/documents/ga/res/45/a45r121.htm
[9]
Pontos 41 e 42 da Resolução nº 65/230 da Assembleia Geral das Nações
Unidas.
Publicada
em
http://www.unodc.org/documents/commissions/CCPCJ/Crime_Resolutions/2010-2019/2010/General_Assembly/A-RES-65-230.pdf
[10]
UNODC, Comprehensive Study on Cybercrime,
2013. Disponível
em
http://www.unodc.org/documents/commissions/CCPCJ/Crime_Resolutions/2010-2019/2010/General_Assembly/A-RES-65-230.pdf
[11]
Nos termos do seu art. 37º, a
Convenção foi aberta à adesão de Estados não membros do Conselho da Europa.
[12] Cf.
https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185/signatures
(consultado em 9 de Setembro de 2018
[13]
Cf.
https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016806cac22
[14] Aprovada pela Resolução da
Assembleia da República n.º 88/2009, de 15/09 e ratificada pelo Decreto do
Presidente da República n.º 91/2009, de 15/09
[15] Explanatory Report to the
Convention on Cybercrime, p. 2
[16] Convenção sobre o Cibercrime,
Preâmbulo, disponível em
http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=1505&tabela=leis&so_miolo=S
[17] Como, por exemplo, a CEDH, o Pacto
Internacional sobre os Direitos Civis e Políticos da ONU e a Convenção 108 do
Conselho da Europa para a proteção das pessoas relativamente ao tratamento
automatizado de dados de caráter pessoal
[18] Em Portugal, este Protocolo foi
aprovado pela Resolução da Assembleia da República n.º 91/2009 e ratificado
pelo Decreto do Presidente da República n.º 94/2009, entrando em vigor a 1 de
julho de 2010 – simultaneamente com a Convenção sobre o Cibercrime
[19] Este objetivo deverá ser
prosseguido tendo em consideração a Decisão-Quadro 2009/948/JAI relativa à
prevenção e resolução de conflitos de exercício de competência em processo
penal
[20] Como disposto no número 2 do
artigo 3º do Tratado da União Europeia (alterado pelo Tratado de Lisboa)
[21] Considerando 2 do Preâmbulo da
Diretiva 2013/40/UE, de 12 de Agosto de 2013
[22] Uma botnet consiste numa rede de computadores infetados com software malicioso que permite, à pessoa
ou organização que os controla autonomamente, a execução de atividades ilícitas
automatizadas via Internet, em grande escala, sem o conhecimento dos seus
utilizadores.
Sem comentários:
Enviar um comentário