Um projeto de lei em tramitação no Senado brasileiro (PLS 272/2016) altera a  atual lei antiterrorismo para classificar como "ato terrorista" a ação de interferir, sabotar ou danificar sistemas de informática ou bancos de dados, com motivação política ou ideológica, com o fim de desorientar ou dificultar seu funcionamento. Louvar publicamente tais ações, ou outros delitos de terrorismo problematicamente definidos, poderia levar a uma pena de até oito anos de prisão, de acordo com o mesmo projeto de lei. No início deste ano, a EFF criticou um conjunto de projetos de lei "antiterrorismo" no Brasil que ameaça seriamente garantias ligadas à liberdade de expressão e à privacidade. O PLS 272/2016 é um deles. Agora, espera-se que o novo relator designado na Comissão de Constituição, Justiça e Cidadania do Senado realize uma audiência pública e divulgue um novo relatório.

Entre outras preocupações chave, organizações brasileiras de direitos humanos ressaltaram que o projeto de lei expande delitos terroristas de forma indevida para incluir atos que já são tratados pela legislação criminal existente no país, destinando-lhes penas mais duras e desproporcionais. Fazer apologia ou incitar crimes e invadir sistemas informáticos já são condutas ilegais com base no Código Penal brasileiro. Porém, se o projeto de lei for aprovado, condutas similares a essas poderão receber penas dez vezes mais altas, ou mais. 

Além disso, o crime de invasão de sistemas informáticos já previsto no Código Penal apresenta formulação muito mais detalhada do que a presente no projeto de lei. Conforme estabelecido no Código Penal, a responsabilização por esse crime requer a violação de um mecanismo de segurança com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou "instalar vulnerabilidades" para obter vantagem ilícita. Por outro lado, o projeto de lei se refere a "motivação política e ideológica" com o fim de dificultar ou obstar o funcionamento de sistemas ou bancos de dados.

Poderiam argumentar que  tomar o controle ou sabotar o funcionamento de infraestrutura crítica e serviços essenciais, como sistemas de energia elétrica, merece tratamento mais severo do que outras formas de intrusão maliciosa. No entanto, não é disso que trata o PLS 272/2016: atos como esse já são gravemente punidos pela  atual lei antiterrorismo.

Para piorar o problema, uma emenda proposta ao projeto de lei suprime inclusive os vagos requisitos de motivação e dolo, referindo-se apenas a "interferir, sabotar ou danificar sistemas informáticos ou bancos de dados." Se acolhida pelo novo relator, um amplo espectro de ações ligadas à interferência ou dano a sistemas informáticos poderia ser considerado como "ato terrorista."

Embora a definição legal atual de terrorismo apresente requisitos que delimitam a aplicação e a interpretação dos atos terroristas estabelecidos pela lei, esse e outros projetos ampliam de forma excessiva tal definição. Por exemplo, a lei limita o crime de terrorismo a razões de xenofobia, discriminação ou preconceito de raça, cor, etnia e religião. Porém, a mesma emenda ao PLS 272/2016 altera essa redação para incluir "outra motivação política, ideológica ou social." De acordo com essa emenda, a identificação de vulnerabilidades em um sistema do poder público e sua ampla divulgação com o intuito de pressionar o governo para melhorar sua segurança poderia ser entendida como um ato terrorista.

Este projeto de lei simultaneamente aumenta as penas e torna mais vaga a redação de legislação já existente. E aqui está o problema: proibições penais destinadas a dissuadir a invasão de redes ou dispositivos podem facil e prejudicialmente impactar a pesquisa de segurança. Uma formulação excessivamente ampla do delito pode atingir e prejudicar atividades de pesquisa de segurança importantes e positivas.

O Papel dos Hackers e Pesquisadores de Segurança

Pesquisadores de segurança e hackers nunca foram tão importantes para a segurança da Internet. Ao identificar e revelar vulnerabilidades, são capazes de melhorar a segurança de cada usuário que depende dos sistemas de informação para sua vida diária e seu trabalho. Ainda que desempenhem um papel chave na detecção e correção de falhas nos softwares e hardwares que todo mundo utiliza, suas ações muitas vezes são mal-interpretadas.

Por exemplo, na conferência de segurança técnica, Black Hat, de 2010 em Las Vegas, o pesquisador profissional de segurança Barnaby Jack demonstrou publicamente que era possível contornar as medidas de segurança em ATMs e programá-los para liberar dinheiro. Considerando o uso generalizado de ATMs, há um forte interesse público em trazer à tona esse tipo de falhas de segurança, pressionando fabricantes a atuar de maneira oportuna para obter informação sobre vulnerabilidades e construir máquinas e sistemas com os padrões de segurança mais altos possíveis. Jack deveria ter dado sua palestra na conferência no ano anterior, mas seu empregador naquele momento, Juniper Networks, pressionou o pesquisador a cancelar sua participação depois de receber uma reclamação de um fornecedor de ATM. Como resultado, ATMs permaneceram vulneráveis por um ano inteiro depois de Jack inicialmente pretender revelar esse fato publicamente.

O projeto da EFF sobre direitos de programadores e pesquisadores de segurança na América Latina demonstra que direitos reconhecidos pela  Convenção Americana de Direitos Humanos fornecem uma importante base de referência para proteger as atividades cruciais de hackers e pesquisadores de segurança, ao mesmo tempo em que garantem o desenvolvimento seguro da Internet e de outras tecnologias digitais. Crimes cibernéticos devem ser definidos com precisão e incluir tanto a intenção criminosa quanto a existência de danos reais. As sanções devem ser proporcionais e o direito penal não pode se tornar a resposta para comportamentos de pesquisadores de segurança que sejam socialmente benéficos.

Esperamos que os legisladores brasileiros considerem cuidadosamente essas normas e reconheçam o dano potencial que a tipificação ampla e excessiva de um crime cibernético poderia impor à sociedade como um todo. É preciso ter em vista também que uma legislação antiterrorista vaga, desnecessária e desproporcional compromete exatamente os bens jurídicos e direitos fundamentais que ela deveria proteger. O PLS 272/2016 é uma demonstração desse risco e a EFF continuará monitorando seu andamento.

Related Issues

Coders' Rights Project
Free Speech

Related Updates

Figure with a gold crown, a sword, and a scale
Deeplinks Blog by Rory Mir | August 15, 2024

EFF Honored as DEF CON 32 Uber Contributor

At DEF CON 32 this year, the Electronic Frontier Foundation became the first organization to be given the Uber Contributor award. This award recognizes EFF’s work in education and litigation, naming us “Defenders of the Hacker Spirit.”
EFF logo with a crowned DEF CON skull in the middle.
Deeplinks Blog by Aaron Jue | August 6, 2024

EFF at the Las Vegas Hacker Conferences

Las Vegas is blazing hot and that means it's time for EFF to return to the hacker summer camp conferences—BSidesLV, Black Hat USA and DEF CON—to rally behind computer security researchers and tinkerers. Find all of EFF's scheduled talks and activities at the conferences right here.
2 protestors in silhouette on retro starburst background
Deeplinks Blog by Katitza Rodriguez | June 14, 2024

Se Não For Alterado, os Estados Devem Rejeitar o Projeto da Convenção da ONU sobre Cibercrime com suas Falhas que Criminaliza Pesquisas de Segurança e Certas Atividades Jornalísticas

Este é o primeiro artigo em uma série destacando os problemas e falhas na proposta Convenção da ONU sobre Cibercrime. Confira O Projeto da Convenção da ONU sobre Cibercrime é um carta-branca para Abusos de Vigilância. A versão mais recente e quase final da convenção da ONU sobre Crime...