Antonio Gonçalves*
O Brasil é o segundo país no mundo que mais sofreu ataques cibernéticos em 2023, segundo Panorama de Ameaças para a América Latina 2024. Foram mais de 700 milhões de ataques ao longo de 2023, o que representa 1.379 por minuto. O mais recente produziu o vazamento de mais de 16 bilhões de senhas e credenciais, segundo o portal Cybernews.
Cerca de 107 celulares são roubados ou furtados por hora no Brasil, segundo o Fórum Brasileiro de Segurança Pública. Somente em 2023, foram mais de 937 mil registros do crime. Em São Paulo, na Avenida Paulista, uma das mais movimentadas da cidade, dois celulares são roubados ou furtados por minuto. Através deles é possível acessar contas bancárias e realizar operações indevidas.
O relatório “Cost of a Data Breach”, da IBM, aponta que o custo médio de uma violação de dados no Brasil é de R$ 6,75 milhões. A pesquisa ainda aponta que os ataques de phishing foram os mais comuns, com um custo médio de R$ 7,75 milhões por violação.
Os ataques ocorrem em velocidade e intensidade maior que o Governo Federal, o Congresso e o Judiciário nacional conseguem operacionalizar. O primeiro pela premência e carência em estabelecer acordos e parcerias internacionais e nacionais para fortalecer, capacitar e melhorar seus sistemas de monitoramento e proteção, tanto dos órgãos governamentais, quanto sistemas militares, estatais, bancários, dentre outros que estão sob seu controle e responsabilidade.
O Congresso pela morosidade em edificar um regramento digital eficiente que preveja um eficaz controle e monitoramento legislativo com as concernentes responsabilizações civis e penais para os cibercrimes. O Marco Civil da internet, por exemplo, há muito está desatualizado e não houve um movimento efetivo por parte do Legislativo para modificar tal cenário. Vários Projetos de Lei têm tramitado na Câmara dos Deputados e no Senado Federal, como por exemplo, a criminalização do Deep Fake e do Deep Nude, porém, não há uma codificação macro acerca do Direito Digital. O País padece com tal atraso e o reflexo é sentido no Judiciário.
Por fim, mas não menos relevante, temos o Judiciário. Responsável por julgar casos de cibercrimes, quando provocado e, devido as carências legislativas no tocante aos cibercrimes, como mencionado, os tribunais superiores ainda têm uma jurisprudência tímida, seja para os cibercrimes ou para as cooperações internacionais acerca do tema.
Os três poderes não têm reagido na velocidade que a população precisa no tocante aos crimes cibernéticos. Não por acaso, ano após ano, o Brasil tem avançado negativamente no ranking de ataques globais advindos dos cibercriminosos.
Informação é poder. Assim, as empresas públicas ou privadas, órgãos governamentais e instituições financeiras são fontes de dados cobiçados pelos cibercriminosos. As organizações transnacionais ilícitas buscam acessos e caminhos a fim de se infiltrar nos seus alvos e, não raro, cooptam a parte mais vulnerável e acessível da equação: o ser humano.
Quando se fala de empresas parece que todas têm uma estrutura cibernética de ponta e a proteção e ultrassofisticada. Ledo engano. As pequenas e médias empresas, que representam 99% dos negócios, 30% do PIB e 70% dos empregos no Brasil são, também, as que têm maior dificuldade para se prevenir dos ataques cibernéticos, seja por desconhecimento, falta de recursos ou de tecnologia.
Para piorar, pode ter um funcionário que usa o aparelho móvel ou o computador da empresa para acessar conteúdos pessoais e, em um deles, pode ser vítima do phishing, como mencionamos.
Para essas empresas de pequeno e médio porte o caminho, portanto, é investir na educação e conscientização dos funcionários, para informar sobre os riscos cibernéticos e promover boas práticas de segurança digital entre a população e as empresas e os cuidados que os funcionários devem ter com os equipamentos da empresa e as prevenções aos acessos.
Além de treinamentos básicos sobre segurança cibernética, as empresas podem realizar simulações de phishing, e, a depender do tamanho da empresa, também promover workshops sobre ética no trabalho e seminários sobre segurança e implementar uma cultura preventiva que poderá fazer toda a diferença se e quando a empresa for alvo de um ataque cibernético.
Uma porta frequente de acesso para agentes maliciosos e fraudes, como dissemos, tem sido os funcionários que abrem aplicativos indevidos, recebem Phishing no ambiente de trabalho, portanto, podem, equivocadamente, partilhar senhas corporativas e, com isso, expor sua empresa e/ou local de trabalho a fraudes e golpes virtuais. A participação involuntária de funcionários ocorre tanto no setor privado quanto no público e ambos podem ser surpreendidos e serem alvo de fraudes, golpes digitais e tentativas de invasões digitais.
Capacitar para identificar, também, a participação de funcionários em esquemas fraudulentos e cibercrimes de forma consciente e voluntária. Nas instituições financeiras a proteção e as camadas têm sido maiores e melhores, com firewall sofisticado e mais camadas de proteção, todavia, não evitam que funcionários colaborem para invasões no sistema interno, como tem ocorrido em algumas instituições financeiras recentemente.
As instituições têm responsabilidade, segundo a LGPD, na proteção de dados dos correntistas e, em um mundo pós pandemia em que os funcionários misturam o ambiente doméstico e corporativo nos mesmos dispositivos de trabalho, a proteção tem de ser sofisticada a fim de proteger o próprio sistema e evitar golpes em cascata.
O sistema de investigação, se a prevenção é falha ou insuficiente, não se pode prender aquele que não se descobre ou que se protege através de ips falsos e camadas e mais camadas de proteção digital que impedem a descoberta de sua identidade. Por conseguinte, os crimes digitais se proliferam e as responsabilizações têm sido insuficiente para conter a ação dos cibercriminosos.
Por fim, cuidados e reforços no cuidado do ambiente doméstico. Assim, produtos eletrônicos adquiridos devem sempre ser atualizados e verificados como as babás eletrônicas e similares, as câmeras móveis e demais aparatos eletrônicos que se não tiverem softwares de proteção e com senhas fortes podem facilmente ser invadidos e deixar os usuários e, consequentemente, o sistema fragilizados e aptos para um ciberataque.
De tal sorte que o investimento em conscientização e capacitação são relevantes. A população, também composta por funcionários públicos, deve saber da importância de manter as atualizações de softwares dos aparelhos em dia, realizar backup dos dados mais relevantes, investir em serviços antivírus conhecidos e, principalmente, usar senhas fortes ao invés das manjadas e frequentes datas de aniversário, casamento e similares.
Senhas fortes com letras maiúsculas e minúsculas, números e caracteres especiais e únicas para cada conta do usuário são itens básicos da prevenção a ataques cibernéticos. Ademais, falamos sobre as câmeras dos computadores e notebooks, porém, as câmeras das residências e locais de trabalho também devem ter uma revisão periódica.
*Antonio Gonçalves é advogado criminalista. Pós-doutor em Desafios em la post modernidad para los Derechos Humanos y los Derechos Fundamentales pela Universidade de Santiago de Compostela, Pós-Doutor em Ciência da Religião pela PUC/SP, Pós-Doutor em Ciências Jurídicas pela Universidade de La Matanza. Doutor e Mestre em Filosofia do Direito pela PUC/SP, MBA em Relações Internacionais da Fundação Getúlio Vargas.
