Dados vazados ou sequestrados afetam nosso dinheiro e moral; o que fazer?

Quem diria que os dados se tornariam uma propriedade, um bem com valor patrimonial sujeito a estar na mira do crime organizado digital?

Hoje o nível de impacto na vida de uma pessoa ou mesmo de uma empresa que passa uma situação de ter dados vazados ou sequestrados é devastador. Afinal, o que é pior: chegar e não ver seu carro estacionado ou abrir o Instagram e perceber que seu perfil foi invadido?

Qualquer um que já foi vítima de uma situação em que um criminoso de posse dos seus dados consegue assumir sua identidade no ambiente digital e passa a agir e dar golpes em seu nome percebe o quanto este tipo de crime tem efeitos que extrapolam e muito a esfera financeira gerando graves danos morais e reputacionais.

No caso das empresas, o pesadelo de qualquer gestor é quando soa o alerta de monitoração da rede, em seguida os sistemas ficam fora do ar e vem a paralisação. A partir deste momento instala-se a crise.

O que fazer? Como lidar com a situação de um ataque de sequestro de dados?

Cada minuto conta. É uma corrida contra o relógio para neutralizar o incidente.

Esta nova modalidade de crime que gera a cada dia mais vítimas e causa grandes prejuízos financeiros e sociais ainda está longe de ser bem combatida pelas autoridades.

Cidadãos, empresas e instituições estão à mercê de a qualquer momento se tornarem reféns de quadrilhas especializadas em atacar os dados, sejam eles empresariais, pessoais, sensíveis —as informações mais críticas e valiosas são o novo alvo dos bandidos.

A falta de conhecimento das vítimas, o despreparo das autoridades, a lacuna da legislação e as vulnerabilidades de segurança tanto no setor público como privado, tudo isso se torna um prato cheio para o aumento das ameaças cibernéticas.

E a cada novo caso de vazamento ou de sequestro de dados, alimenta-se o ciclo e injeta-se recursos financeiros no mercado do crime.

O que fazer para combater efetivamente esse problema que só se agrava e deixa o cidadão comum completamente desprotegido?

Resposta das autoridades

Nosso dever de casa é entender o motivo dos nossos dados estarem tão vulneráveis.

Falta política pública com uma força tarefa específica criada para focar na segurança pública digital e no combate a estas condutas. Da mesma forma que deve haver uma melhora na legislação criminal para punir de maneira mais enérgica o crime de sequestro de dados.

A falta de prioridade com a cibersegurança fica evidente a cada novo incidente que presenciamos.

Desde 2011, na Califórnia, pela SB 1411 (Criminal E-personation), que alterou o Código Penal na seção 528.5, é crime criar perfil falso nas redes sociais ou enviar um e-mail em nome de outra pessoa.

O autor da lei, senador Joe Simitian, explicou que a medida foi uma atualização de outra lei do século 19 de falsa representação. O crime é específico e é punido com pena de prisão de 1 ano e/ou aplicação de multa.

Em termos comparativos, parece que estamos muito atrás no nível de importância que envolve a privacidade e a proteção de dados.

No Reino Unido, por exemplo, existe um Centro Nacional de Cibersegurança Britânico (NCSC), com um secretário que responde pela segurança pública digital no país. Leis tornam mais rígidas o controle das teles para introduzir uma estrutura de cibersegurança mais forte.

Enquanto lá as operadoras têm um dever de colaboração com as autoridades e fazem parte de um braço estendido de vigilância e combate ao crime, aqui no Brasil é extremamente fácil abrir uma conta de celular no nome de alguém —um dos golpes que tem sido mais praticado. Ao contrário, cabe ao cidadão ficar vigilante e denunciar a operadora e o site na Anatel. Além da demora na resposta.

Essa fragilidade é também o que acaba facilitando o sequestro do perfil do Instagram. Que por sua vez não possui canais facilitados para combate a fraude para resposta rápida às vítimas e colaboração com autoridades.

Afinal, em questão de horas o criminoso faz verdadeiro estrago não apenas na conta da pessoa que teve seus dados roubados ou sequestrados como aplica golpes em terceiros.

Em que pé estamos

No Brasil ainda não temos a previsão de um crime específico para furto de identidade digital ("identity Thief"), já temos o Centro de Defesa Cibernético Brasileiro (CDCiber) vinculado ao Ministério da Defesa do Exército mas cuja atuação não chega a ser ainda tão percebida pelo cidadão, talvez pela ausência da figura do "secretário geral de segurança pública digital do Brasil", apesar de termos tanto a Secretaria de Governo Digital como a Secretaria Nacional de Segurança Pública, ambas em nível federal.

Apesar da Lei 14.155/21 ter tornado mais graves os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica, não é suficiente, precisamos de um tipo penal específico para o sequestro de dados.

Afinal, a disseminação desse tipo de ameaça pode ocorrer das mais variadas formas, sendo as mais comuns por meio de e-mails de spam, golpes de engenharia social, ou pela exploração de vulnerabilidades em sistemas.

Mesmo havendo cópia de segurança, a recuperação do ambiente é muito difícil. Além do que, o tempo de indisponibilidade das informações tem efeitos devastadores que podem extrapolar o custo financeiro.

Dada a relevância dos bens atingidos nesse crime digital, deve haver um tipo penal próprio, com previsão de pena no mesmo rigor da sua gravidade e prejuízos causados.

Um avanço recente que tivemos foi o Projeto de Lei Nº 879/2022, proposto pelo senador Carlos Viana (PL-MG), que busca criminalizar o sequestro de dados, com pena de reclusão de 3 a 6 anos.

Tive a chance de colaborar com a elaboração do texto, que altera a redação do Código Penal para punir de forma mais severa a invasão de dispositivo informático que resulte na obtenção de dados pessoais.

A aprovação do PL seria muito valiosa para o país, pois reforçaria seu compromisso com a Convenção de Budapeste, um acordo que visa facilitar a cooperação internacional para o combate ao crime na internet e lista os principais crimes cometidos por meio da internet.

Também é válido citar que as proteções trazidas aos titulares pela Lei Geral de Proteção de Dados Pessoais (nº 13.709/2018) são fundamentais nesse processo, mas para combater o crime cibernético organizado, é preciso haver outros recursos, investimentos e medidas eficazes. Penso numa força-tarefa para estabelecer uma política pública que permita o avanço e a consolidação da segurança digital no país.

Por exemplo, a atuação do encarregado pelo tratamento de dados pessoais é peça-chave nesse contexto. Tanto que a ANPD está convocando especialistas para regulamentar suas atividades. A medida vem sendo bastante aguardada para fortalecer a aderência da Lei, já que entre suas atribuições, está a de ser o canal de comunicação com os titulares dos dados e a autoridade.

É preciso uma mudança de cultura e de procedimentos, num trabalho conjunto, em que todas as organizações invistam na proteção de dados como prioridade e tenham também uma frente forte de conscientização, treinando e ensinando os funcionários para que sejam a primeira linha de defesa da instituição, empregando recursos em treinamento, cursos e materiais que desenvolvam e capacitem as habilidades dos colaboradores para lidar com situações de ameaça cibernética.

O que fazer?

Ao enfrentar um incidente de vazamento ou de sequestro de dados a primeira providência sempre está relacionada a agir rápido para neutralizar o evento e em seguida capturar ao máximo as provas necessárias para conduzir investigação e/ou denúncia.

Em sendo a pessoa física será importante realizar um registro de ocorrência.

Por certo seria muito importante ter no Brasil um canal tipo hotline de central de denúncia para o cidadão reportar via site e/ou app e/ou telefone e assim já serem tomadas medidas para alertas relacionados a combate e prevenção à fraude com uso de seus dados no mercado.

Este tipo de central poderia ser gerenciada por uma entidade que compartilhasse com a polícia e também com bancos, telcos e outras Instituições o que evitaria depois muita dor de cabeça na vida do indivíduo.

Em sendo empresa, será necessário acionar sala de crise e fazer a verificação se é o caso de cumprir com o dever de report à Autoridade Nacional de Proteção de Dados (ANPD) caso haja violação de dados pessoais com risco ou dano relevante para titulares, entre outras providências.

Em todas as situações é necessário agir com calma e seguir um plano de ação bem estruturado para gerenciamento da crise, mitigação dos danos e recuperação do ambiente o mais rápido possível. Pior que qualquer prejuízo financeiro, vazamentos e sequestro de dados causam grande impacto reputacional.

* Patricia Peck, PhD. é CEO e sócia fundadora do Peck Advogados. É conselheira titular do Conselho Nacional de Proteção de Dados (CNPD).