O problema do cibercrime no Brasil
Outubro, 2015
Está na hora de os legisladores brasileiros começarem a levar a sério o crime cibernético
O Brasil está no epicentro de uma onde global de crime cibernético, ou cibercrime. O país está em segundo lugar na classificação mundial de fraudes bancárias online e malware financeiro, e o problema continua a se agravar. Segundo fontes oficiais, o número de ataques cibernéticos no país cresceu em 197% em 2014, e as fraudes bancárias online cresceram 40% ao longo do último ano.
Todavia, grande parte da população brasileira ainda ignora a escala do problema. Os formuladores de políticas públicas começam só agora a reagir às ameaças, mas apenas de forma fragmentada. Para combater o crime cibernético de maneira eficaz, o Brasil necessita ampliar a discussão pública sobre o tema. Os legisladores, as agências de segurança, as empresas, as organizações da sociedade civil e os cidadãos precisam levar a questão muito mais a sério.
Não há clareza sobre o custo do cibercrime para a economia brasileira. Um relatório alega que, em 2013, o furto de dados no Brasil gerou prejuízos entre 4,1 bilhões de dólares e 4,7 bilhões de dólares. Segundo outras fontes, desde 2012 cerca de 3,75 bilhões de dólares foram hackeados de boletos bancários — um método de pagamento administrado pela Federação Brasileira de Bancos. Isso representa aproximadamente 495.000 transações envolvendo 30 bancos e mais de 192.000 vítimas. Não há quase nenhuma informação disponível ao público sobre quais bancos foram afetados.
Ganhos fáceis
A maior parte das informações que temos vem de pesquisas com empresas e usuários. Um estudo recente com 450 empresas de São Paulo concluiu que pequenas e médias empresas são as que correm mais risco. Os hackers usam estratégias básicas de phishing, geralmente enviando e-mails para obter informações sensíveis, como senhas e dados de cartões de crédito. Além disso, muitas pessoas inadvertidamente fazem download de malware nos computadores das empresas onde trabalham. É fácil mitigar algumas dessas vulnerabilidades, inclusive por meio da exigência que os funcionários mudem periodicamente suas senhas e evitem abrir mensagens suspeitas.
O fato de que tantos brasileiros sejam vítimas de crimes cibernéticos não é exatamente uma surpresa. Afinal, 58% dos 200 milhões de habitantes do país estão conectados à internet. Na China e na África do Sul, a percentagem é de 49%, ao passo que na Índia é de somente 18%. Ademais, pelo menos 45% de todas as transações bancárias no Brasil são digitais. O Brasil possui 130 caixas eletrônicos para cada 100.000 adultos – uma densidade maior que o Reino Unido (127 por 100.000), a França (109 por 100.000), ou a Alemanha (116 por 100.000), segundo dados do Banco Mundial.
Além disso, a legislação sobre crimes cibernéticos é deficiente. Aprovada em 2012, a lei conhecida como Lei Carolina Dieckmann define como delito penal a invasão de dispositivos informáticos alheios (atividade conhecida como hackeamento); contudo, talvez as brandas penas previstas em lei (somente de três meses a um ano de reclusão, e uma multa) não sejam suficientes para deter os aspirantes a cibercriminosos. A Lei de Segurança e Privacidade de Dados Pessoais dos Estados Unidos, por exemplo, estabelece sentenças de até cinco anos e/ou uma multa para crimes semelhantes.
Também nos EUA, a Lei de Abusos e Fraudes Informáticas, uma lei que protege sistemas bancários e computadores federais, impõe penas de até dez anos de reclusão (até vinte anos no caso de reincidência), além de multas pesadas (até 250.000 dólares para pessoas físicas e 500.000 dólares para pessoas jurídicas). A União Europeia também elevou recentemente as diretrizes para penas relativas ao hackeamento de dados pessoais e outros ataques cibernéticos que tenham impacto em infraestruturas importantes.
A capacidade de policiamento do Brasil também é limitada. Os agentes da lei carecem dos recursos necessários para reprimir esses tipos de crimes, e, embora o Ministério da Ciência, Tecnologia e Inovação e o Ministério da Defesa venham tentando estimular uma maior participação do setor privado na área de segurança cibernética, seus esforços têm progredido muito lentamente.
Um debate necessário
Considerando a escala do problema de crimes cibernéticos no Brasil, é surpreendente que se saiba tão pouco sobre isso. O silêncio é parcialmente intencional. Grandes corporações do setor bancário e do varejo preferem não falar sobre o volume de suas perdas por medo de prejudicar suas reputações e afastar clientes. Embora um recente relatório da União Internacional de Telecomunicações tenha classificado o Brasil em quinto lugar em seu Índice Global de Segurança Cibernética, que atribui notas aos países em relação a seus níveis nacionais de conscientização cibernética, a maior parte dos brasileiros ainda ignora o quanto são vulneráveis aos cibercriminosos.
No entanto, a conscientização pública pode estar evoluindo. Muitos incidentes de alta notoriedade vêm alertando os brasileiros sobre a gravidade das ameaças online. Por exemplo, Ana Paula Araújo, uma jornalista e apresentadora do Bom Dia Brasil, um programa televisivo muito popular no país, teria sido vítima de um hacker que conseguiu roubar 30.000 reais (cerca de 8.000 dólares) de sua conta bancária em meados de julho.
Enquanto isso, grupos dos setores público e privado do Brasil vêm defendendo uma maior governança da internet e mais neutralidade na rede. Isso está ligado ao princípio que os provedores de serviços de internet e os governos deveriam tratar todos os dados da mesma maneira, o que pretende preservar o direito de liberdade de comunicação online. Esses grupos ajudaram a desenvolver uma Carta de Direitos da Internet, conhecida como Marco Civil da Internet, que foi aprovada pelo Congresso Nacional em 2014. Essa Carta de Direitos atribui aos desenvolvedores de software e às empresas de telecomunicações o ônus de incluir salvaguardas (inclusive por meio de criptografia) em seus produtos e serviços, e os responsabiliza por violações de privacidade.
Algumas empresas e órgãos públicos brasileiros também estão agindo, ao buscar tecnologias e experiências estrangeiras para proteger seus servidores e suas redes de dados. O governo brasileiro adquiriu um software russo, por exemplo, para proteger as redes da Sanepar, a estatal responsável pela gestão de recursos hídricos e saneamento do estado do Paraná. O contrato foi firmado durante a visita ao Brasil do Presidente da Rússia, Vladimir Putin, em 2014 e inclui a identificação em tempo real de cerca de dez milhões de pessoas por meio de impressão digital. O governo federal também está buscando no exterior ferramentas de vigilância para suas redes.
O Departamento de Polícia Federal do Brasil, por exemplo, contratou os serviços da empresa italiana de malware de vigilância Hacking Team, que fornece spyware para órgãos públicos como o FBI e o Exército Americano, bem como para clientes em todo o Oriente Médio e na África. O WikiLeaks publicou recentemente um grande volume de e-mails com informações detalhadas sobre as vendas de tecnologia daquela empresa a vários governos, e como tais tecnologias permitem a manipulação de computadores e telefones celulares, além do uso de métodos adicionais para revelar dados pessoais ou rastrear hábitos individuais. Embora empresas como a Hacking Team promovam a legitimidade de seus produtos como uma importante ferramenta a serviço da lei, também há indícios de que os governos usem tais tecnologias para monitorar quem critique suas políticas, inclusive jornalistas e defensores de direitos humanos.
Muito se fala sobre o fortalecimento dos esforços brasileiros na área de segurança cibernética durante os Jogos Olímpicos de 2016. O Centro de Defesa Cibernética do Exército Brasileiro anunciou em junho a contratação de 200 militares, técnicos e especialistas em segurança cibernética em um esforço para proteger sites públicos e privados durante o período olímpico. Embora isso seja de grande importância, é necessário um debate muito mais urgente com a população brasileira em geral.
O Brasil precisa enfrentar suas vulnerabilidades cibernéticas. Isso exige um diálogo mais honesto e público sobre as dimensões das ameaças online e a importância da higiene digital. No mínimo, os brasileiros precisariam tomar mais precauções para proteger seus dispositivos móveis e reduzir os riscos nas redes sociais. Os bancos e outras instituições financeiras precisam ser mais transparentes em relação a suas respostas aos crimes cibernéticos e à proteção dos dados de seus clientes.
O governo, por sua vez, precisa garantir que a legislação nacional para evitar e combater cibercrimes acompanhe o ritmo dos avanços tecnológicos. Apesar da promessa do novo Marco Civil da Internet, as leis atuais são lamentavelmente inadequadas para combater as ameaças existentes. O Brasil precisa de um plano nacional de segurança cibernética e deveria criar um órgão oficial para orientar sua estratégia nacional sobre o tema. Está na hora de os legisladores brasileiros começarem a levar a sério o crime cibernético.
Robert Muggah e Nathan Thompson, El País