Por Cássius Guimarães Chai

Com a recente elevação do direito de proteção de dados ao status de norma fundamental, Emenda Constitucional (EC) nº 115/22, as expectativas institucionais de proteção das relações de consumo ganham novos contornos e essência normativa para antigas preocupações, dentre as quais a preservação e a salvaguarda das informações pessoais, per si, e na contração de obrigações e serviços pelos meios digitais, por quem os oferta e, gere os dados pessoais.

Fazem parte, da 4ª Revolução Industrial, os ganhos sociais com os avanços tecnológicos, mas, também, o arrasto das adaptações que perpassam todas as atividades humanas, as ilícitas inclusive.

Ao tempo em que serviços e produtos podem ter abreviadas sua busca, sua escolha e sua aquisição pelos recursos da rede mundial de informações, tem igualmente exponencializada as formas de interceptação e desvio de dados, valores, e sequestro de informações, facilitando novas maneiras de fraude e extorsões contra usuários-consumidores.

As estatísticas apontam que os crimes cibernéticos avultam valores elevados trazendo prejuízos materiais e morais; não apenas para a indústria e cadeia de serviços, mas, sobremaneira, aos usuários-consumidores. Tanto nos procedimentos de oferta de produtos e de serviços fraudulentos, quanto nas demais condutas delituosas contra as relações de consumo [1].

Segundo dados coletados pelo portal de serviços Statista [2], empresa que atua em mais de 170 segmentos da indústria e serviços, abrangendo mais de 150 países, as cinco maiores formas de crimes online praticados contra usuários consumidores são: phishing/vishing/pharming; não pagamento/não entrega; extorsões; subtração de dados pessoais (identificação de cartões crédito, por exemplo); e, furto de identidades.

Cabe dizer aos leitores e às leitoras, sem prejuízo de seu conhecimento prévio que, dentre esses crimes, os menos conhecidos do grande público, embora vítima muitas vezes, são o vishing e o pharming. Segundo definição pelo centro de serviços Kaspersky [3], pharming é um tipo de crime virtual muito parecido com o phishing, em que o tráfego de um site é manipulado e informações confidenciais são roubadas”. E vishing é uma forma de obtenção voluntaria de dados do usuário-consumidor para o fraudador online. Ainda, segundo centro de informações Kaspersky, o “phishing envolve e-mails ou mensagens de texto que induzem as pessoas a clicar em links de arquivos ou sites que abrigam malware. Os links também podem aparecer em anúncios on-line direcionados aos consumidores

O vishing usa golpes verbais para induzir as pessoas a fazer coisas que elas acreditam ser de seu interesse. Em geral, o vishing começa no ponto em que o phishing termina.
O vishing pode ocorrer sempre que os criminosos têm acesso às informações pessoais das vítimas.

Os criminosos virtuais criam condições para que as vítimas inocentes entreguem de forma voluntária seus detalhes pessoais valiosos, como nomes completos, endereços, números de telefone e números de cartões de crédito.
Com essas informações, os criminosos virtuais podem efetuar inúmeras cobranças fraudulentas, começando com tarifas falsas referentes a reparos no computador ou de software antivírus, dependendo do golpe.
O vishing prospera quando os criminosos virtuais têm um mínimo de informações sobre os interesses de um usuário. Eles aproveitam esse conhecimento para gerar uma sensação de urgência envolvendo um problema na vida da vítima e aparecem com uma salvação, oferecendo uma solução simples para o problema”
[4].

Não é novidade que os crimes cibernéticos são praticados em estratégias transfronteiriças e em camadas de tráfego de informações, entre a chamada internet e a deepweb, o que impõe severas dificuldades aos procedimentos de investigação e de obtenção de provas criminais aptas a serem judicialmente examinadas. E é importante sublinhar que a prova digital é volátil e fugidia, devendo as Políticas de Defesa Social, nestas incluída a segurança pública, pensarem e disporem estratégias e táticas, com recursos, humanos e materiais, capazes de um enfrentamento à cibercriminalidade mais efetivo e ágil. Nesse contexto, é possível tratar a higidez das relações de consumo, e dos demais serviços públicos, como da proteção de dados da Justiça nacional, da previdência, da receita e dos sistemas eleitoral e de saúde e todos os demais sistemas de dados.

No mês de agosto de 2020, seis meses após o início da pandemia Covid-19, foram anotados no DF, de março a junho daquele ano, um aumento de 310% de registros de furtos mediante fraude online, além do aumento em 198,95% de estelionatos online, em relação ao ano anterior, 2019 [5].

Ainda em 2020, no Brasil foram mais de 3 milhões de golpes praticados via WhatsApp, sendo o meio criminoso mais usual, segundo o Laboratório de Segurança Digital Dfndr Lab, o disseminado por meio de push nos navegadores de internet, ou seja, de links maliciosos compartilhados através de redes sociais ou WhatsApp, que prometem acesso a um conteúdo específico, mas acabam direcionando para uma página falsa [6].

Há, ainda, a oferta de falsos anúncios de produtos, de promoções e ou sorteios, todos com o fim de subtrair dados pessoais, ou realizar o crime de estelionato, artigo 171, §2º-A, §2ºB, e do §4º (estelionato praticado contra pessoa idosa ou vulnerável), e os crimes dos artigo 154-A, artigo 155, §4º-B, §4º-C, incisos I e II, todos do Código Penal Brasileiro, segundo alterações introduzidas pela lei federal nº 14.155/2021.

Ações educacionais sobre métodos de proteção e controle e segurança das atividades online são importantíssimos, no entanto, programas como o Se Liga Consumidor embora sejam necessários, como adoção de medidas de contenção e prevenção ao risco em comprar e interações online, não são suficientes ao combate do crescente índice de crimes contra as relações de consumo e aos setores de indústria, comércio e finanças do país, além das criminalidades que lhes são, quando não diretamente ligadas, transversalizadas, como o crime organizado, a lavagem de dinheiro (branqueio de capitais), os tráficos de armas e de entorpecentes.

Segundo relatório da Surfshark [7], no ano de 2021, houve no Brasil 24.186.874 violações de dados, sendo esse quantitativo inferior em 31% com relação às violações de dados ocorridas no ano de 2020, no Brasil, colocando-nos na sexta posição no ranking de países cujos dados de internet foram violados.

Não é possível esquecer que logo em janeiro de 2021, houve vazamento dos dados de 223 milhões de brasileiros, mais que a população brasileira (212 milhões) porque incluía falecidos; e, dentre as informações, comercializadas na dark web, estavam CPF, RG, nome, data de nascimento, veículos e CNPJs, endereços, fotos, escolaridade e renda [8].

Ainda, segundo relatório específico publicado pelo Surfshark Cost of Data Breachs, desde janeiro de 2021, mais de 220 milhões de registros do Serasa Experian foram furtados, resultando em possíveis prejuízos financeiros da ordem de U$ 1.533.400 [9]. Esse fato coloca o episódio como um dos mais valiosos no ano de 2021, de violação de dados no mundo.

E, por fim, em uma série de ataques, ocorridos, no Brasil, a partir de dezembro de 2021, segue em investigação. Criminosos invadiram sites do Sistema Único de Saúde (SUS) [10], Conecte SUS (responsável pelos dados de vacinação da população brasileira), Polícia Rodoviária Federal, Ministério da Economia, Controladoria Geral da União (CGU) e Instituto Federal do Paraná.

Inobstante aquelas alterações mencionadas, acima, no Código Penal brasileiro, a não implementação normativa doméstica da Convenção de Budapest dificulta a atuação cooperativa uniforme e institucional, dos atores do sistema de justiça brasileiro com autoridades estrangeiras, contra a criminalidade cibernética.

Agora com a recente promulgação pelo Senado Federal, espera-se que o governo brasileiro, adote todas as medidas necessárias a sua implementação prática, face o Decreto Legislativo nº 37, de 16 de dezembro de 2021 [11].

Não podemos ignorar que neste estágio da quarta revolução industrial em que estamos às portas de uma sociedade 5.0, quanto mais dados uma empresa coleta sobre seus consumidores e quanto mais sensíveis forem os dados, maior a atratividade dos dados para os criminosos cibernéticos. Isso torna o risco de crimes cibernéticos não apenas um problema de TI, mas também um problema de negócios. Não apenas de negócios, mas de governança democrática de dados e de informações, dos governos, da indústria e das empresas.

O Estado brasileiro precisa assumir a liderança no combate à criminalidade no ciberespaço, especialmente ao considerar consumidores, usuários e cidadãos, e suas experiências e atitudes em relação ao crime cibernético, incorporando as ferramentas e os desenhos cooperativos disponibilizados pela Convenção de Budapeste, notadamente do 2º Protocolo Adicional.

Não há como e porque ignorar as responsabilidades interseccionais entre a LGDP, o direito fundamental da proteção de dados, artigo 5º, inciso LXXIX, e o respeito ao direito fundamental das relações de consumo, na fórmula do artigo 170, inciso V, CF 88.

Aliás, a Convenção de Budapeste é instrumento internacional que empresta agilidade e ferramentas a uma atuação transnacional, multilateral e com constantes trocas de experiências e metodologias nas estratégias e ações de combate aos crimes cibernéticos nas intersecções do crime organizado transnacional e doméstico, terrorismo e lavagem de capitais, lavagem de capitais e tráfico de armas e de substâncias entorpecentes.

O recente 2º Protocolo Adicional à Convenção de Budapeste, aprovado em 17 de dezembro de 2021, e com prazo para depósito de ratificações a partir de maio de 2022, abre nova oportunidade para a República Federativa do Brasil, para concretizar seu objeto de cooperação reforçada e obtenção de provas eletrônicas [12]. Pois, cabe lembrar, como o fazem o Conselho Europeu e demais partes signatárias da Convenção de Budapeste, que os governos têm a responsabilidade de proteger a sociedade e os indivíduos contra o crime não apenas offline, mas também online, inclusive por meio de investigações e processos criminais eficazes.

A criminalidade cibernética é por sua ontologia assimétrica, e, considerando que as provas de qualquer infração penal são cada vez mais armazenadas em formato eletrônico em sistemas informáticos em jurisdições estrangeiras, múltiplas ou desconhecidas, tornam-se necessárias medidas adicionais e assimétricas para obtenção legal dessas provas, a fim de permitir uma resposta eficaz da justiça penal e manter a higidez do estado de direito.

O 2º Protocolo Adicional à Convenção de Budapeste coloca a perspectiva da necessidade de assegurar que medidas efetivas de justiça criminal sobre crimes cibernéticos e a coleta de provas em formato eletrônico estejam sujeitas às condições e garantias, às quais deverão proporcionar a proteção adequada dos direitos humanos e liberdades fundamentais, incluindo os direitos decorrentes de obrigações que os Estados se comprometeram de acordo com os instrumentos internacionais de direitos humanos aplicáveis, como a Convenção de 1950 para a Proteção dos Direitos Humanos e Liberdades Fundamentais (ETS nº 5) do Conselho da Europa, para os países da União Europeia, o Pacto Internacional das Nações Unidas de 1966 sobre Direitos Civis e Políticos, para todos os países signatários, dentre estes o Brasil, a Convenção Africana de 1981 — Carta dos Direitos Humanos e dos Povos, a Convenção Americana sobre Direitos Humanos de 1969 e outros tratados internacionais de direitos humanos.

Logo, examinados o âmbito de aplicação deste protocolo adicional, conclui-se pela necessária importância estratégica dos seus instrumentos para as investigações das infrações penais relacionadas com sistemas e dados informáticos e à recolha de provas em formato eletrônico, a favor do consumidor e da credibilidade das instituições.

[1] Tanto das condutas dispostas na lei federal nº 8137/90, quanto na lei federal nº 8.078/90, e dos tipos constantes no Código Penal e demais leis especiais.

[2] https://www.statista.com/aboutus/trust. Último acesso: 1º de março 2022.

[3] https://www.kaspersky.com.br/resource-center/definitions/pharming. Último acesso: 1º março 2022.

[4] https://www.kaspersky.com.br/resource-center/definitions/vishing. Último acesso: 1º de março 2022.

[5] https://www.correiobraziliense.com.br/cidades-df/2020/08/4868977-mais-golpes-na-pandemia.html. Último acesso: 1º de março 2022.

[6] https://www.consumidormoderno.com.br/2020/09/02/brasil-e-um-dos-paises-com-mais-vitimas-de-ataques-ciberneticos-no-mundo-segundo-pesquisas/. Último acesso: 1º de março 2022.

[7] https://surfshark.com/blog/data-breach-statistics-by-country-in-2021. Acesso: 1º março 2022.

[8] https://www.istoedinheiro.com.br/brasil-foi-5o-pais-com-mais-ataques-ciberneticos-no-ano-relembre-os-principais/. Último acesso: 1º de março 2022.

[9] https://surfshark.com/cost-of-data-breaches. Último acesso: março de 2022.

[10] https://www.gov.br/saude/pt-br/assuntos/noticias/2021-1/dezembro/nota-oficial e https://www.cartacapital.com.br/cartaexpressa/gsi-investiga-se-ataque-hacker-partiu-do-acesso-de-um-funcionario-do-governo/. Último acesso: 1º março 2022.

[11] https://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=515&pagina=7&data=17/12/2021. Último acesso: 1º de março de 2022.

[12] https://search.coe.int/cm/pages/result_details.aspx?objectid=0900001680a48e4d. Último acesso: 1º de março 2022.