FAKES, REVENGE PORN E “GOLPE DO ZAP”: guia para a investigação forense de crimes cibernéticos

FAKES, REVENGE PORN E “GOLPE DO ZAP”: guia para a investigação forense de crimes cibernéticos

(Tempo de leitura estimado: 4 minutos)

Representação do "fishing", aqui conhecido também no forma do "golpe do whatsapp"

Muito se tem alertado quanto ao crescente número de crimes praticados por meios virtuais – na internet, em geral, e especialmente por intermédio de redes sociais. Dentre os fatores que contribuem para a crescente de casos, nota-se a quase impositiva mudança de costume no uso que fazemos dos meios eletrônicos e acesso à internet. Estamos por cada vez mais tempo e meios diversos conectados à rede mundial de computadores.

Seja durante o home office ou mesmo na hora do lazer, nunca utilizamos tanto os serviços digitais e, consequentemente, cadastramos ou armazenamos nossas informações pessoais nesse plano intangível da web. Conforme se aguça tal tendência, mais dados são levados aos bancos dos serviços digitais e, de outro lado, menores a cautela e o grau de desconfiança com que usufruímos dos práticos recursos digitais.

Claro que esta circunstância atrai a atenção daqueles indivíduos mal intencionados que se dispõem às mais perniciosas engenharias digitais para praticar ilicitudes, confiando, sobretudo, na perspectiva de impunidade projetada pela aparente camuflagem que o ciberespaço pode proporcionar.

Mas não é bem assim.

Desde a criação do Marco Civil da Internet (Lei n. 12.965/2014), ao qual se soma a recente Lei Geral de Proteção de Dados – LGPD (Lei n. 13.709/2018), o usuário/consumidor de serviços digitais possui não apenas um conjunto de garantias legais que obrigam os provedores de serviços a proteger os seus dados, como também instrumentos para demandar, desses mesmos provedores, meios de fazer cessar a violação de direitos e, até mesmo, fornecer informações úteis à investigação de condutas ilícitas ocorridas nos seus ciberespaços.

No entanto, isto não significa a possibilidade de um “faça-você-mesmo” a investigação criminal, pois as medidas mais efetivas (como a obtenção de um endereço de IP para identificar o malfeitor) dependem de autorização judicial para que sejam impostas aos provedores de serviços na internet.

Além disto, conforme a natureza do crime em questão, poderá ser de competência exclusiva das autoridades públicas a iniciativa de responsabilização formal dos autores da conduta criminosa.

 

Qual seria, então, o benefício prático de promover uma investigação privada?

 

Acelerar o início da investigação – suplantando a eventual morosidade da autoridade pública sobrecarregada – promove mais rapidamente a preservação dos “rastros” deixados pela prática criminosa nos ciberespaços.

Em termos práticos, estamos falando em aumentar as chances de se identificar o(s) responsável(eis) pela conduta e dele(s) demandar a responsabilização jurídica, no que se inclui, além daquela de natureza criminal, também a indenização pelos danos materiais e/ou morais eventualmente causados.

O método de investigação privada dos crimes cibernéticos congrega, portanto, a técnica forense, levando às autoridades públicas (delegado de polícia, promotor de justiça, juiz de direito etc.) o conjunto probatório mínimo para a responsabilização dos agentes; e a tecnologia da informação, cujos recursos são empregados para coleta e preservação de dados relativos à atuação dos criminosos.

 

Neste breve guia, trazemos um método de como utilizar os instrumentos legais para investigar os crimes cibernéticos e responsabilizar eventuais infratores.

 

O objetivo dos procedimentos aqui descritos é preservar, com celeridade e respaldo na legislação, o conjunto de elementos de prova suficiente para fundamentar a responsabilização jurídica dos agentes que concorram para a prática criminosa e/ou causação do dano à(s) vítima(s).

As modalidades de ilicitude hoje presentes nos ciberespaços são cada vez mais diversificadas, ainda que a legislação penal não se aperfeiçoe no mesmo ritmo. Por isso, é necessário distinguir entre os crimes para cuja consumação são indispensáveis os recursos digitais, que são a minoria;[1] daqueles que, embora previstos há muito tempo em nossa legislação penal, têm sua prática potencializada nos ciberespaços, sobretudo em razão da aparente possibilidade de anonimato e de que sejam apagados os vestígios da conduta[2].

A distinção serve para que mais rapidamente se identifique a segunda categoria de infrações, isto é, os crimes comuns, ocasionalmente praticados a partir dos recursos disponíveis nos ciberespaços. Nessas hipóteses, costuma ser mais amplo o leque de possibilidades da investigação privada, pois, para a identificação dos agentes, coleta de provas e responsabilização formal dos envolvidos, serão dispensáveis recursos tecnológicos mais robustos e medidas judiciais que dependam de requerimento da autoridade pública (ex. busca e apreensão, quebra de sigilo telemático etc.).

Assim, o guia em etapas abaixo servirá para aumentar as chances de sucesso, especialmente, na investigação de crimes contra à honra (calúnia, injúria e difamação), “roubo” de perfil ou “perfil fake”, divulgação/comercialização não autorizada de dados, “revenge porn”, além de fraudes que se valem de redes sociais e serviços on-line (estelionato, falsidade ideológica etc.) para obter vantagem ilícita das vítimas.

 

1. Identificar dados violados e pessoas afetadas

Uma vez detectada a conduta criminosa ou a suspeita fundada disto, deve-se estimar, o mais rapidamente, a abrangência de dados pessoais violados e o número de pessoas possivelmente afetadas pela ação perniciosa.

Mensurar as informações comprometidas significa aferir a forma pela qual a vítima teve violada a sua esfera direitos. Conforme a modalidade ilícita, indaga-se se houve, por exemplo, dano ao nome e/ou imagem; ao direito sobre dados pessoais, tanto aqueles disponibilizados pela própria vítima em algum ciberespaço, bem como informações sensíveis, concedidas apenas por efeito do ardil empregado pelo malfeitor contra a vítima; ao direito sobre alguma propriedade intelectual, derivada da atividade da vítima na web; à segurança de bancos de dados ou servidores particulares etc.

De outro lado, é preciso estimar o número potencial de indivíduos alcançados pela ação danosa, fazendo-o segundo uma classificação que dentre eles distinga os “diretamente” e “indiretamente” afetados.

Isto apontará o grau de exposição das vítimas, permitindo que se afira da legitimidade de cada uma delas para provocar a responsabilização dos infratores, bem como identificar a autoridade pública competente para agir – tendo em vista  a frequência com que diferem o local da vítima, do criminoso, e do responsável pelo ciberespaço em que ocorreu a ilicitude.

 

2. Buscar e preservar “rastros” da conduta criminosa

Tão logo se calcule a abrangência da ação ilícita, passa-se à busca dos eventuais “rastros” deixados pelos infratores.

Em casos de conduta explícita, como pode ocorrer em crimes contra à honra, em que o autor se vale do próprio perfil na rede social, por exemplo, para atacar a(s) vítima(s), é intuitivo que devemos preservar os registros da conduta, na forma das mensagens disponibilizadas na rede ou recebidas em canais privativos/pessoais.

Quando se tratar de fraude, é imprescindível coletar os instrumentos utilizados pelo agente, como o documento falso, o link da “página-armadilha” enviada para coletar dados, o e-mail usado, e todas as informações bancárias exibidas, quando for o caso, especialmente, dos famosos “golpes do Whatsapp” e afins.

Sobre a forma de coleta, é importante destacar: o conhecido “print da tela”, que pode ser feito tanto no computador como em celulares, a fim de captar esses rastros, é de relativo valor probatório para fins de responsabilização formal. Em verdade, trata-se de uma fonte fragilíssima de prova. Exatamente pela facilidade com que pode ser alterado o seu conteúdo – ou, até mesmo, “preparado” –, dependerá de futura perícia para suprir a relativa idoneidade com que aporta aos autos de um processo judicial.

O “print da tela” deve ser usado como ferramenta precária de coleta, recurso mais imediato que visa apenas acautelar possíveis evidências que podem “desaparecer” ou ser deletadas pelos criminosos após a prática ilícita.

Em razão disto, a principal medida que a vítima de um ilícito em meio cibernético deve tomar, sendo um usuário comum dos recursos digitais, é, o mais breve, encaminhar-se a um Cartório de Notas para registrar em ata notarial os eventos relativos à ilicitude de que foi alvo, notadamente as evidências que permanecem acessíveis no ciberespaço onde se deu a conduta.

A ata notarial, assinada por um tabelião, é um documento dotado de fé pública; por isso, desponta como uma espécie de “prova pré-constituída” do evento danoso. Por ela se atesta que “determinado fato ocorreu” e “de que forma”, já que, ao lavrá-la, o tabelião pôde conhecer do evento por meio das evidências contidas no ciberespaço, cujo acesso se lhe permite através, por exemplo, de um celular ou notebook levado pela vítima e/ou testemunha.

Em uma investigação privada com recursos tecnológicos específicos, é possível ainda aferir a presença “rastros” ocultos, como os defeitos no meio fraudulento usado pelos autores e, ainda, informações licitamente acessíveis em torno do nome e/ou CPF do indivíduo que tenha figurado como favorecido de transações bancárias solicitadas pelos criminosos.

É importante também ter orientação e suporte para armazenar em segurança os registros obtidos, bem como saber proceder corretamente acaso os ataques persistam ou elejam novos alvos e métodos.

 

3.  Registrar ocorrência policial

Muitas vítimas de ataque cibernético relutam em registrar o conhecido boletim de ocorrência, mormente pela baixa expectativa de que isto resulte na efetiva responsabilização dos culpados.

Sem dúvidas deve-se mesmo ir a delegacia de polícia e registrar a ocorrência, até porque, quando age por si só, este é o procedimento mais viável para que a vítima ponha em movimento a responsabilização formal dos malfeitores.

Trata-se, portanto, da primeira medida formal adequada a maior parte dos crimes cibernéticos – será prescindível, por exemplo, nas hipóteses dos crimes contra à honra, para os quais se procede mediante queixa-crime. O registro da ocorrência permitirá a instauração de um inquérito policial, a partir do que a autoridade policial, conforme ao seu critério de investigação, poderá, por exemplo, requisitar informações aos provedores de serviços por meio dos quais se deram as ilicitudes.

Para tanto, a vítima deve se dirigir à delegacia do bairro onde reside, independentemente de onde estivera no momento em que ocorreram as ilicitudes ou tomara conhecimento disto. A delegacia do seu bairro não ficará responsável pela investigação do evento, mas o grupo de polícia especializada para onde será remetida a ocorrência ou o inquérito policial.

Cumpre à vítima manter seguras as informações coletadas e aguardar pelo avanço da investigação.

 

4. Notificar provedores de aplicações e serviços digitais

Após certificar-se de que todas evidências da ilicitude foram armazenadas em segurança, é possível notificar os responsáveis pelo ciberespaço para tornar indisponível o conteúdo exibido on-line que viole a intimidade daquele que está sendo exposto.

Contudo, esta hipótese é específica para o chamado “revenge porn” ou “pornô da vingança”, em que a vítima tem cenas de nudez ou ato sexual divulgadas no ciberespaço, sem que o tivesse autorizado.

Esta hipótese tem amparo no art. 21 da Lei n. 12.956/2014, o Marco Civil da Internet, e não se estende às demais anteriormente citadas – ao menos não de maneira “automática” – porquanto a mesma lei que a prevê, de outro lado, também estabelece aos provedores do ciberespaço o dever de agir para indisponibilizar o conteúdo apenas mediante decisão judicial que assim determine.[3]

Ainda assim, em se tratando de modalidade ilícita distinta do “revenge porn”, após o acautelamento dos vestígios na rede, deve-se notificar o provedor do ciberespaço pelos meios que este disponibilize ao usuário.  Usando o próprio cadastro/perfil da vítima, aciona-se o suporte do ciberespaço, relatando exatamente a conduta da qual ela foi alvo e apontando o motivo pelo qual o provedor deve agir para cessar a violação de direitos.[4]

Este procedimento é importante para fins de responsabilização civil, sobretudo, pois o provedor da aplicação poderá ser responsável em caráter subsidiário quando demonstrado que sua inércia contribuiu para a prática da ilicitude ou o agravamento das suas consequências em desfavor da vítima.

 

5. Rastrear a conexão de IP e o respectivo titular do provedor de internet usados pelo(s) infrator(es)

Esta é a principal medida para identificar infratores que agem sob um manto de anonimato ao praticar ilícitos por meio dos ciberespaços, sendo também a primeira etapa judicial para responsabilização formal deles e dos demais que concorreram para o dano causado à vítima.

Com base no art. 22 do Marco Civil da Internet, “a parte interessada poderá, com o propósito de formar conjunto probatório em processo judicial cível ou penal, em caráter incidental ou autônomo, requerer ao juiz que ordene ao responsável pela guarda o fornecimento de registros de conexão ou de registros de acesso a aplicações de internet”.

Isto significa que, mediante determinação judicial, provedores de serviços como rede social, aplicativo de mensagens, internet banda larga, telefonia etc., informem dados da conexão relativa ao evento ilícito, isto é, tanto o endereço de IP (internet protocol), bem como e-mail e demais informações cadastradas pelo usuário infrator.

Obtendo-se tais informações, fica-se a um passo de identificar, minimamente, quem seria, por exemplo, o titular respectivo da conexão usada pelo “internauta/usuário infrator” (que pode ser verificada desde a criação da conta, passando por todos os acessos feitos e terminais usados em cada momento em que esteve on-line). Neste ponto já se saberá contra quem agir, isto é, quem responsabilizar, seja civil ou criminalmente.

Como dissemos, tal medida depende de autorização judicial para ser levada a termo, em razão do que a técnica de investigação forense será crucial para solicitar as informações que efetivamente permitirão responsabilizar os infratores, demonstrando o fundamento legítimo para que o pleito seja acolhido.

Demais disso, em etapa posterior, o investigador deverá valer-se das ferramentas de tecnologia da informação adequadas para, a partir dos dados fornecidos pelo provedor do ciberespaço, coletar por meios lícitos os elementos potenciais de prova que poderão ser usados mais tarde em juízo.

 

6. Apresentar notícia-crime ao Ministério Público ou queixa-crime ao juízo penal

Depois de identificados os potenciais infratores, isto é, aqueles que, desde um fundamento jurídico demonstrável, podem figurar como réus de uma ação penal ou civil, procede-se ao ajuizamento da demanda conforme à natureza da infração verificada.

Tratando dos cibercrimes, é preciso distinguir entre as condutas pelas quais se deve proceder mediante a apresentação de notícia-crime ou queixa-crime.

Costumeiramente, os crimes contra à honra, praticados também nos ciberespaços, devem ser formalizados por queixa, a qual será recebida ou rejeitada por um juiz criminal, conforme à pertinência do fato criminoso narrado e a respectiva autoria indicada.

De outro lado, crimes como aqueles representados pelo “roubo de perfil” ou “revenge porn”, estelionato e fraudes correlatas etc., devem ser apresentados ao Ministério Público (MP) por meio de notícia-crime.

Se também forem pertinentes as evidências de infração apontadas na notícia-crime, o órgão ministerial deve instaurar inquérito próprio, no âmbito do qual determinará, caso julgue necessário, novas diligências para suplementar o conjunto probatório apresentado pelo documento. Tais diligências podem ser cumpridas com recursos do próprio MP ou pela autoridade policial que então será acionada. Medidas mais rigorosas, como busca e apreensão no endereço do potencial infrator, dependerão de autorização judicial.

Acaso a investigação forense da qual se originou a notícia-crime seja a tal ponto robusta, isto é, demonstre suficientemente a materialidade do fato e indique inequivocadamente a sua autoria – o que é feito, como vimos, pela boa técnica forense para coleta e armazenamento de dados –, ganha-se, em favor da investida contra os potenciais infratores, o tempo que levaria a investigação ministerial, aumentando-se as chances de cessar a conduta causadora de danos e responsabilizar seus autores.

 

7. Demandar judicialmente dos infratores identificados e provedores omissos a reparação pelos danos causados

A conduta do infrator no ciberespaço poderá configurar, simultaneamente, crime e ilícito civil. Ambas as hipóteses de responsabilização jurídica são autônomas, modo que, o eventual insucesso em uma delas não impede a investida por outra.

Ilustrando a explicação, tanto em crimes contra à honra, como em casos de fraude, além da responsabilização criminal pela conduta praticada, o infrator poderá ser demandado na esfera cível para reparar os danos morais e/ou materiais suportados pela(s) vítima(s).

Contudo, ainda que o sucesso de uma hipótese de responsabilização não dependa da outra, são sempre melhores as chances de sucesso, sobretudo em juízo cível, quando a demanda indenizatória é corroborada pela condenação penal em paralelo.

De outro lado, é possível também avaliar o grau de contribuição do provedor do ciberespaço para os danos acarretados a vítima. Isto pode se dar por pelo menos duas formas.

Verificando-se o grau anterior de exposição indevida de informações da vítima no ciberespaço, pode-se concluir que a conduta ilícita posterior apenas foi possível por razão dessa “brecha” na segurança das informações dos usuários – padrão de segurança que é, por lei, como vimos, dever dos chamados provedores de aplicações de internet. Nessa hipótese, poderá se configurar uma responsabilidade civil não meramente subsidiária, mas até mesmo direta, do responsável pelo provedor.

Esta regra valerá, inclusive, mesmo que o dano à vítima não chegue a se materializar, na hipótese em que a falha segurança, por si só contrarie, por exemplo, os padrões exigidos pela LGPD.

Por outro modo, é também possível que a falha injustificável do provedor do ciberespaço cause o agravamento dos danos sofridos pela vítima por ação anterior de um usuário mal-intencionado.

É o que ocorre, por exemplo, em casos de “revenge porn”, “roubo de perfil”/falsa identidade, e algumas modalidades específicas de fraude, em que, tendo o dever legal de agir para cessar a causação dos danos, o provedor simplesmente se omite ou não adota medida eficaz para tanto. Quando isto ocorre, a responsabilidade civil se configurará, subsidiaria ou diretamente, conforme as peculiaridades do caso.

 

Este breve guia é composto das informações mais básicas para se compreender o processo de responsabilização jurídica por ilicitudes ocorridas no ambiente cibernético. Contudo, é preciso ter em mente que, realizar por conta própria a investigação, sobretudo de atividade criminosa na web, possui seus próprios riscos, não sendo aconselhável àqueles que não dispõem, minimamente, dos recursos tecnológicos necessários para investigar com segurança.

 

Também não é aconselhável que a própria vítima se encarregue da investigação, pois muita vez o sentimento de revolta, embora absolutamente compreensível, é ingrediente nocivo à eficácia dos procedimentos.

 

Em vista à necessidade de unir os recursos tecnológicos de investigação e segurança às técnicas jurídicas que permitem a obtenção de informações por meios lícitos, a carreira do perito forense tem sido cada vez mais estimada, fazendo acrescentar ao leque de atuação do advogado a especialização nos “crimes da internet“.

 

Citações e notas:

[1] Exemplo disto é hacking/cracking, previsto na nossa lei penal como “invasão de dispositivo informático”, requer algum conhecimento específico nos métodos de burla dos sistemas de segurança mais comuns às aplicações que usamos nos ciberespaços.

[2] São as modalidades mais corriqueiras e abrangem desde os crimes contra à honra, as fraudes (“Golpe do Zap” e afins), até violações de direitos personalíssimos (“pornô da vingança”, violação de direitos autorais ou de imagem etc.). Sua prática geralmente não requer técnicas robustas, mas apenas os próprios recursos disponibilizados aos usuários dos ciberespaços, como em redes sociais.

[3] A lei referida prestigia, nesse sentido, a proteção da liberdade de expressão na internet, buscando, portanto, mitigar a censura deliberada praticável pelos administradores das aplicações e serviços nas redes.

[4] É interessante também requerer da administração que sejam preservados os registros da conexão do usuário infrator, dado que o evento que se está reportando configura, potencialmente, crime ou ilícito civil.