O que mudou entre as versões II e III do Relatório Final da CPI de Crimes Cibernéticos (CPICIBER)
PARTE I – TRABALHOS DA COMISSÃO PARLAMENTAR DE INQUÉRITO
[... nenhuma mudança ...]
PARTE II – CONSTATAÇÕES E CONCLUSÕES
[... nenhuma mudança ...]
2 – CONSTATAÇÕES E INVESTIGAÇÕES DA CPI
2.1 – SUB-RELATORIA DE INSTITUIÇÕES FINANCEIRAS E COMÉRCIO VIRTUAL (SUB-RELATOR DEPUTADO SANDRO ALEX)
2.1.1 – Elaboração de Código de Boas Práticas na Publicidade Virtual e Assinatura de Termo de Ajustamento de Conduta
Dentre os inúmeros crimes praticados pela internet no
âmbito das instituições financeiras e comércio virtual, encontra-se a difusão
ilegal de conteúdos audiovisuais protegidos por direito autoral – os chamados
sítios de conteúdos piratas. As investigações desta Sub-Relatoria identificaram
diversos sítios que fazem esse tipo de veiculação, os quais são financiados
mediante a veiculação de publicidade por meio de banners,
Com base em denúncia apresentada nesta CPI pelo SubRelator da área, em Audiência Pública no dia 08/10/15, com a presença do Sr.
Edinho Silva, Ministro da Secretaria de Comunicação Social da Presidência da
República, foi verificado que as entidades contratantes de serviços de
publicidade e as agências de propaganda, em se tratando de veiculação de
publicidade na internet, não possuem o controle final sobre quais sítios de
internet efetivamente veiculam os anúncios contratados. Isso se deve a que
algoritmos verificam quais sítios de internet possuem maior quantidade de
acessos e automaticamente a essas páginas são direcionados os anúncios
contratados.
Assim, como apresentado na denúncia, propagandas de
empresas tradicionais e até do governo podem terminar sendo veiculadas em
sítios utilizados para a prática de crimes cibernéticos, neste caso o streaming
ilegal de filmes e de séries de televisão.
Pouco tempo após a denúncia apresentada, foi
deflagrada a operação Barba Negra, da Polícia Federal, que resultou em
prisões e na suspensão dos serviços do maior sítio de compartilhamento ilegal
de filmes, o sítio Mega Filmes HD.
Como desdobramento da denúncia na CPI, em nova
Audiência Pública em 04/04/2016, representante da empresa UOL, foi
convidada para prestar esclarecimentos acerca das práticas de publicidade do
grupo. A depoente informou que, em consequência ao conhecimento dos fatos
denunciados à CPI, o grupo de comunicação disponibilizou em seu portal
ferramenta para a denúncia de crimes cibernéticos.
O fato chama a atenção de que a CPI tem obtido logros
na questão da transparência na gestão da contratação da publicidade ao longo
dos elementos de sua cadeia. No entanto, verificamos que a transparência
deva ser mais disseminada por todos os agentes, incluindo o setor público.
Nesse sentido, chama a atenção a não entrega dos materiais solicitados ao
Ministro da Secretária de Comunicação Social da Presidência da República,
em 08/10/15. O material permitiria a esta CPI se debruçar sobre as práticas do
setor e propor melhoramentos no sistema de contratação.
Dessa forma, esse tipo de derivação automática de
publicidade nos leva a propor a criação de um Código de Boas Práticas a ser
adotado pelas entidades envolvidas com a publicidade no meio digital,
para evitar a comercialização de espaço para anúncios publicitários em
plataformas digitais que disponibilizem conteúdos ilícitos, pratiquem
condutas ilegais e/ou fomentem a prática de tais condutas pelos seus
usuários. Esse Código de Boas Práticas poderá ensejar posterior assinatura
de Termo de Ajustamento de Conduta entre os principais sítios de
internet, Conar, associações de mídia digital e Ministério Público Federal.
(Parte III, 5.e). Ademais o Ministro-Chefe da Secretaria de Comunicação Social
declarou que encaminharia à Comissão “todo o ranqueamento [isto é,
investimento em publicidade], assim como o ranqueamento das redes sociais
para que a Comissão tenha todas as informações necessárias sobre o que é
investido em publicidade, por meio da SECOM”. Ressaltamos que essas
informações não foram encaminhadas até o encerramento dos trabalhos da
CPI. Portanto, encaminhamos Requerimento de Informações solicitando
esses dados.
2.3 – SUB-RELATORIA DE CRIMES CONTRA A HONRA E OUTRAS
INJÚRIAS (SUB-RELATOR DEPUTADO DANIEL COELHO)
2.3.1 – Retirada de conteúdos infringentes repetidos
Na questão da remoção de conteúdos atentatórios, o
estudo do assunto e as oitivas realizadas pela CPI nos indicam que as
disposições do MCI dificultam a manutenção da exclusão de conteúdos
criminosos quando estes são replicados. Uma vez que no texto legal (§1 o, do
artigo 19) há a menção expressa à “localização inequívoca do material”, alguns
dos principais aplicativos de internet tem procedido apenas a remoções de
endereços específicos apontados em decisões judiciais. Assim, quando os
mesmos conteúdos são postados em outra página, ou por outro usuário, os
responsáveis pelo sítio têm exigido nova ordem judicial apontando esse novo
endereço a ser removido. Essa prática é extremamente danosa para a vítima,
pois as facilidades inerentes aos meios digitais, relatados anteriormente,
tornam a prática do crime ininterrupta.
Assim, o sistema atual é injusto com a vítima, pois as
disposições do MCI obrigam a vitima a entrar na justiça contra cada ocorrência
do conteúdo. Essa metodologia tem consequências nefastas para vítimas,
pessoas comuns, celebridades, ou pessoas investidas de cargo público ou
político.
No caso específico do processo eleitoral, tendo em vista
os prazos exíguos das campanhas, os ataques pelas redes sociais são
impossíveis de serem coibidos em tempo hábil, sendo o dano eleitoral
irreparável, com graves consequências para o processo democrático.
No estudo da matéria foram sugeridas diversas propostas
para regulamentar o assunto. Após profícuo debate com Parlamentares,
instituições e membros da sociedade organizada, entendemos que o CGI.br
apresentou contribuição que mais se aproxima do entendimento por parte dos
membros desta Comissão e será, portanto, acatada em sua quase totalidade.
Assim, como é o entendimento desta Sub-Relatoria, a proposta determina que
conteúdos idênticos devem ser retirados após notificação por parte do usuário.
No entanto, a sólida instituição técnica indica que essa retirada também deva
se dar em casos de conteúdos “que contenham parte majoritária e que
reproduza a infração decorrente do conteúdo removido por ordem judicial”. As
discussões salientaram o fato de que a introdução de elementos de
subjetividade poderia levar ao uso extremado de retiradas como medida de
precaução por parte dos provedores de aplicação e seria, consequentemente,
danoso para o desenvolvimento saudável da internet. Portanto, não
consideramos a melhor solução essa extensão. Por outro lado, o CGI.br não
estabelece prazos para a retirada, o que entendemos ser deletério para a
manutenção da proteção dos usuários.
Por isso, sugerimos apresentar um Projeto de Lei para que a retirada de
conteúdos replicados seja automática, feita em 48 horas, a pedido do
usuário, no caso em que decisão judicial já reconheceu tenha reconhecida
a infringência do conteúdo.
Por fim, constatamos que tramitam, nesta Casa
Legislativa, alguns projetos de lei que, pela pertinência do tema neles tratados,
merecem ser amplamente discutidos. São eles:
a) Projeto de Lei nº 5555/2013 e seus apensados, que
tratam da divulgação não autorizada de imagens
íntimas das vítimas. Essa conduta, que tem se tornado
comum no meio virtual, realmente demanda uma
atuação mais enérgica por parte do Estado, razão pela
qual manifestamos apoio a estas proposições;
b) Projeto de Lei nº 3686/2015, que “tipifica o crime de
intimidação sistemática (Bullying), prevendo causa de
aumento se a conduta for realizada por meio da
internet (Cyberbullying)”;
c) Projeto de Lei nº 7544/2014, que tipifica a conduta de
incitação virtual ao crime;
d) Projeto de Lei nº 1755/2015 e apensados, que tratam
da criminalização da divulgação indevida, na internet,
de informações pessoais.
2.3.2. – Sobre o acesso ao endereço IP utilizado para
a geração de conteúdo específico objeto de investigação criminal
Esta Sub-Relatoria verificou, também, que as autoridades
de investigação (autoridade policial e Ministério Público) têm encontrado
dificuldades para obter o endereço IP utilizado para a geração de determinado
conteúdo criminoso, objeto de investigação.
Mediante a sistemática atual, para se obter o usuário que
se encontra por trás de determinado endereço IP é necessário recorrer a
mandado judicial e realizar o processo de quebra em três etapas. Primeiro
junto ao aplicativo, segundo, junto à autoridade de registro da internet e,
terceiro, junto à operadora de telefonia. Diversas autoridades indicaram a
demora desses processos por diversos motivos. Desde a recusa no
atendimento a solicitações por parte de empresas de internet que possuem
suas bases de dados no exterior, até a falta de disponibilidade de juízes de
plantão para emissão de ordens judiciais que autorizem a quebra do sigilo nas
diversas etapas.
Para alterar essa realidade, é importante seria necessário que as
autoridades de investigação tenham obtivessem acesso,
independentemente de ordem judicial, do endereço IP utilizado para a
geração de determinado conteúdo criminoso, objeto de investigação.
Ressalte-se que o que se propõe não é Essa ótica vislumbra franquear o
acesso a autoridades de policiais aos investigação a dados de qualquer
internauta, mas, apenas, que, internauta que tenham publicado
determinado conteúdo criminoso na internet, a autoridade internet e
que já sejam objeto de investigação possa saber, investigação.
Fundamental destacar nesta sistemática que, processos de forma célere,
investigação criminal são todos remetidos ao Ministério Público, o IP
responsável pela geração desse conteúdo. Aponte-se, também, que
qualquer utilização indevida por si só já garantiria a verificação de
supostas irregularidades ou mau uso de prerrogativas. Nesse
particular, eventuais utilizações indevidas das informações recebidas
será considerada criminosa. seria considerado crime. Dessa maneira,
os internautas que não tiverem tivessem acometido nenhum tipo de crime
possuem possuiriam a garantia de manutenção de sua intimidade. Já
aqueles que se utilizarem da internet para o acometimento de crimes
serão seriam identificados mais rapidamente. Importante ressaltar
nesta discussão que o endereço IP do dispositivo utilizado é um dado
de identificação distinto de conteúdo e sua requisição não deve ser
confundida com interceptação de comunicações telemáticas.
Aliás, a legislação brasileira já autoriza a requisição direta, por
parte do Ministério Público e da autoridade policial, de dados
cadastrais (art. 15 da Lei nº 12.850/13 – Lei das Organizações
Criminosas, art. 17-B da Lei nº 9.613/98 – Lei da Lavagem de
Dinheiro, e art. 10, § 3º, da Lei nº 12.965/2014 – Marco Civil da
Internet). Dessa forma, a autoridade de investigação pode, por
exemplo, pedir a uma empresa telefônica, sem a necessidade de ordem
judicial, a qualificação pessoal (nome, nacionalidade, naturalidade,
data de nascimento, estado civil, profissão, número da carteira de
identidade , etc.), a filiação e o endereço de um cliente que esteja
sendo investigado.
Uma das possíveis críticas a essa possível nova sistemática de
investigação diz respeito a possíveis abusos cometidos por
autoridades. De acordo com contribuição recebida por esta CPI do
Instituto Beta, Coding Rights e Intervozes, dados da Ouvidoria de
polícia de São Paulo, entre 1998 e 2014, indicam a investigação de 591
delegados, a partir de denúncias na Ouvidoria, que resultaram em 144
punições. Houve também 10 investigações contra agentes de
telecomunicações, com quatro policiais punidos. Esses são dados
alarmantes que devem ser levados em consideração por parte dos
legisladores. Assim, como projetos nesse sentido devem determinar
claramente que a utilização indevida de endereço IP configurará crime.
Esta discussão do acesso ao endereço IP por autoridade de investigação
é matéria de elevado interesse no Congresso Nacional. Em 18/04/16,
portanto durante o tramo final dos trabalhos desta CPI, o Senado
Federal aprovou o PLS 730/2015, de autoria do Senador Otto Alencar. A
proposição permite o acesso aos dados cadastrais associados a
determinado endereço IP, limitando essa obtenção apenas à qualificação
pessoal, filiação e endereço do suspeito de prática de crime por
intermédio da internet.
Entendemos que o Senado Federal obteve o tempo necessário para madurar
uma proposta concreta que regulamente a requisição de dados de
internauta de forma célere, em casos de investigação
criminal. Por isso, esta Casa poderá aprimorar a solução oferecida e
concluir por uma peça legal consistente, moderna, que respeita as
garantias individuais, mas que possa, também, tornar a internet um
lugar mais seguro..
Pelos motivos expostos e com o objetivo geral de aumentar a eficácia
das investigações, propomos a análise do Projeto de Lei permitindo que
a autoridade do Senado 730, de 2015, que dispõe sobre investigação
requisite, independentemente de autorização judicial, o endereço IP
utilizado para criminal e a geração de conteúdo específico objeto
obtenção de meios investigação criminal, mantidos por provedor de
conexão ou prova de aplicação crimes praticados na internet.
Ressaltamos que a recomendação aqui expressa não significa que estamos
propondo sua aprovação, apenas que reconhecemos a importância da matéria
e a necessidade de posicionamento do Parlamento brasileiro. Ademais a
análise deve levar em consideração os princípios emanados no Marco Civil
da Internet. (Parte III, 1.6)
[... nenhuma mudança ...]
2.4.7 – Indicação para implantação de Plano de Boas
Práticas em Segurança da Informação na Administração.
Na questão da segurança das redes do governo, dentre
as variadas Audiências Públicas realizadas, chamou a atenção aos membros
desta CPI o depoimento dado por representante do Gabinete de Segurança
Institucional da Presidência da República – GSIPR. O representante indicou a
existência inúmeros ataques cibernéticos diários, muitos dos quais são
encaminhados (60, em média, por dia) ao Centro de Tratamento de Incidentes
de Redes da Administração Pública Federal. A vastidão dos ataques inclui, em
ordem decrescente, abuso de sítio (23%), existência de páginas falsas (21%) e
golpes phising (16%). Em Audiência Pública, os responsáveis pela segurança
na área de TI do governo, apresentaram como uma das principais ações para o
fortalecimento da segurança das redes do governo, a elaboração do
documento “Estratégia de segurança da informação e comunicações e de
segurança cibernética da administração pública federal”, de 2015. 29 2015.29 O
documento, oferecido pelo Departamento de Segurança da Informação e
Documento disponível em
http://dsic.planalto.gov.br/documentos/publicacoes/4_Estrategia_de_SIC.pdf, acessado em
23/11/15.
Comunicações do Gabinete de Segurança Institucional da Presidência da
República, deve ser considerado como o ponto de partida para o planejamento
e o melhoramento da segurança e da resiliência das infraestruturas críticas dos
serviços de TI da Administração. Nos próprios termos publicados no
documento, a estratégia servirá para elevar a segurança da informação e
comunicações e a segurança cibernética pública a níveis de excelência.
Na verdade, o basilar documento é uma resposta à
recomendação contida no Acórdão 3.051/14 do Tribunal de Contas da União,
que realizou auditoria de governança e gestão de TI em 30 entidades da
Administração em que encontrou, especificamente no quesito segurança da
informação:
29 Documento disponível em
http://dsic.planalto.gov.br/documentos/publicacoes/4_Estrategia_de_SIC.pdf,
acessado em 23/11/15.
“Planejamento inadequado e inexistência de análises de risco consistentes que
respaldem as ações de segurança da informação. Falhas
recorrentes no estabelecimento de processos como:
gestão de continuidade de negócio, controle de acesso,
gestão de riscos de segurança da informação e gestão de
incidentes. incidentes.”30
A falha apontada pelo Tribunal indicou à Sub-relatoria a
necessidade de aprofundamento da investigação do assunto. Nessa análise, a
CPI se deparou com farto material produzido pelo TCU.
O citado Acórdão 3.051/14, apresenta o índice iGovTI –
Índice de Governança de TI – que mede a qualidade na gestão dos recursos de
TI das instituições. Dando continuidade a esses levantamentos, o órgão
publicou o Acórdão 3.117/14, “Levantamento de Governança de TI 2014”, 31 2014”,31 que
realizou aprofundado questionário em 372 organizações dos três poderes da
União. Esta CPI se debruçou sobre os dados levantados por esses
procedimentos e solicitou aos técnicos daquele órgão que elaborassem um
índice específico que avaliasse a segurança das informações para aquele
universo de entidades federais. O iGov-TI-SegInfo é o resultado dessa
solicitação.
“Governança e Gestão de TI em 30 Auditorias”, TCU. Disponível em
file:///C:/Users/P_6706/Downloads/2688968.PDF, acessado em 23/11/15.
Informativo disponível em
file:///C:/Users/P_6706/Downloads/Levantamento%20de%20governan%C3%A7a%20de%20TI%202014.pdf, acessado
em 05/01/16.
O iGov-TI-SegInfo gerado pelo TCU busca aferir a
qualidade do tratamento dado à segurança das informações pelas instituições
federais. A figura abaixo apresenta o índice apurado do total de 372 instituições
públicas federais investigadas pelo TCU.
Figura – Índice SegInfo
Fonte: Elaborado com base em dados fornecidos pelo TCU coletados no
âmbito do iGovT iGovTI2014
Como pode se ver da figura anterior, a Administração
Pública Federal possui poucas instituições com aprimorada gestão da
segurança de suas informações, apenas 11% das instituições (correspondente
a 42 entidades). Em contrapartida, 40% (148 entidades) possuem controle
classificado como “inicial”. Isto é, um expressivo conjunto de instituições não
implementa uma série de procedimentos que permitiriam diminuir a incidência
de quebra de segurança das informações, tais como acesso indevido, ataques
e pichações virtuais, roubo de dados ou outros sinistros na área de informática.
As figuras a seguir detalham os diversos fatores que
geraram o índice geral em segurança das informações das instituições
públicas públicas, os quais foram baseados em normas e boas práticas de segurança
da informação, como as normas complementares do DSIC/GSI/PR e norma
técnica ABNT NBR ISO/IEC 27002:2013.32
Figura – Políticas e Responsabilidades
32 Fonte: Elaborado com base em dados fornecidos pelo TCU coletados no âmbito do
iGovT
Fonte: Elaborado com base em dados fornecidos pelo TCU coletados no âmbito do
iGovTI2014
A figura anterior - – Políticas e Responsabilidades - – indica
que apesar de metade das instituições adotarem de forma integral uma política
formal de segurança da informação,
para seus dados, apenas metade destas realiza regularmente back-ups 27% adota integralmente uma
política formal de backups de seus dados.
suas informações. Ademais, apenas um terço das empresas
instituições avaliadas controla integralmente quem possui acesso às suas
informações.
Além do estabelecimento de uma política formal para a
gestão dos ativos e a responsabilização de equipes para a sua gerência, essas
equipes formalmente estruturadas devem efetivamente gerir/monitorar os
ativos. A figura próxima detalha as ações nesse sentido.
Figura – Controles e Atividades
A figura anterior – Controles e Atividades -, –, focada no
processo de gestão dos ativos de informática, informação e no processo de classificação e
tratamento das informações, indica práticas ainda mais frágeis. Quase um terço 44% das
instituições não executam nenhum tipo de gestão de ativos de informática informação e
apenas 15% do universo auditado implementam de forma integral controles
para garantir proteções especificas específicas para cada tipo classe de dados. informação.
Dando prosseguimento à gestão de ativos e dos dados
das corporações, instituições, a próxima figura detalha a existência da previsão de processos
procedimentos a serem seguidos em caso de ocorrência controle
de contingências na riscos de segurança da informação e da área de TI.
Figura – Controle de Riscos
A análise da figura anterior – Controle de Riscos – sugere
que a maioria apenas 26% das empresas monitora o uso dos recursos
instituições executa algum processo de TI gestão de riscos
de segurança da informação e que 55% procura identificar de maneira
sistemática riscos e vulnerabilidades técnicas em suas infraestruturas
infraestruturas. No entanto, a grande maioria das empresas (90%, item ‘l’ e ‘m’)
não possui, ou adota apenas parcialmente, planos para mitigar as
vulnerabilidades apontadas na área de TI.
Identificadas as vulnerabilidades na infraestrutura, o
passo seguinte verificado pela auditoria foi a identificação da existência de
procedimentos seguidos pelas entidades em caso de ocorrência de incidentes
informáticos. A próxima figura apresenta o desempenho das
instituições públicas nesse quesito. em caso de ocorrência de incidentes de segurança da
informação
Figura – Gestão de Incidentes
Embora os dados coletados pela auditoria não
identifiquem quantitativos ou a de ocorrência de incidentes na área de TI nas
instituições, as respostas indicam que esse assunto não possui grande tem sido tratado com a
devida relevância. Apenas um terço das instituições já possuem equipes dedicadas
formalmente instituídas para responder a incidentes (item ‘s’) e 12% possui
procedimento integralmente implementado a ser seguido (‘r’). Proporção relativamente maior,
aproximadamente a metade das instituições, adotou criptografia de chaves
públicas para garantir a autenticidade das informações (‘u’). Em que pese o
Além do estágio incipiente na gestão de incidentes, o outro
aspecto positivo na gestão desse
quesito preocupante é que a maioria apenas metade das instituições está atuando de
alguma forma na prevenção, com ações de conscientização e de conscientização, educação e
treinamento em seguranças segurança das informações. informações.
Em síntese, os documentos indicam que práticas de
governança de tecnologias da informação, embora em uso crescente, ainda
são distantes de um cenário satisfatório na Administração Pública Federal.
Entendemos que essa situação é extremamente preocupante quando as ameaças
cibernéticas são praticadas por delinquentes, mas também por corporações
privadas em busca de lucro e, até, por agências de inteligência de diversos
países.
A espionagem eletrônica por meio das novas redes digitais, que interligam dados
diversos e sistemas de suma importância para a vida das pessoas e para o setor
produtivo, tem o potencial de subtrair recursos, assim como de paralisar o país
em casos extremos.
Essas potencialidades são bem sabidas e documentadas e o fato mais concreto foi
evidenciado com o episódio Snowden, tantas vezes mencionado ao longo desta CPI.
A descoberta de que as Leis americanas, Calea e Patriota, obrigam a instalação
de backdoors em sistemas de informática de empresas daquele país e que agências
americanas podem levantar informações dentro e fora do país, são uma clara
indicação de que o país deve agir com mais vigor.
Em que pese esta CPI não pôde investigar essas questões com maior detalhamento
devido ao seu pronto encerramento, a curta análise indicou que o Brasil precisa
ancorar sua infraestrutura de TI com maior ênfase em sua indústria nacional.
Nesse sentido, julgamos pertinente que a infraestrutura seja auditada, com o
auxílio de instituições brasileiras, contra a existência de backdoors e outros
artifícios que porventura existam em seus equipamentos e softwares de TI.
Ademais, as entidades aqui mencionadas encarregadas
da segurança deveriam auditar a segurança, a padronização de procedimentos
e verificar as vulnerabilidades operacionais das principais redes de
comunicação do país e, classificar, a exemplo do trabalho do TCU, as
instituições.
Outro ponto salientado por esta CPI, no âmbito da SubRelatoria de Crimes
Financeiros, foi a expertise do sistema financeiro em coibir crimes
cibernéticos de maneira geral. Em que pese o tema ser atinente à outra
Sub-Relatoria, julgamos conveniente que esse conhecimento seja incorporado
pelas forças de defesa cibernética na forma de inciativas de cooperação
tecnológica para o intercâmbio de informações, visando tornar o ambiente da
internet no País, como um todo, mais seguro. Esta ação de compartilhamento de
informações visa também ao crescimento do conhecimento da Administração em
ferramentas de segurança de TI.
Entendemos que, em tempos de inúmeros ataques diários e de contingentes cada
vez maiores de dados pessoais e de serviços prestados mediante o uso de
ferramentas de TI, a adoção do conjunto de medidas discutidas neste tópico
representaria uma ação mais incisiva por parte do Estado na proteção de sua
infraestrutura de TI.
Certos de que o desenvolvimento da tecnologia modifica padrões de maneira
constante, temos a compreensão de que apenas focar em boas práticas não
garantirá o melhor resultado em termos de segurança de TI.
Portanto, entendemos que tais medidas deverão focar, também, na redução de
riscos e na limitação dos eventuais danos decorrentes de sinistros na área.
Por último, nessa avaliação e sugestão de práticas deve igualmente ser
considerada a questão do incentivo e da adoção preferencial de tecnologias,
padrões e formatos abertos e livres. Sabe-se que a adoção desse tipo de
programas possui o potencial de aumentar a segurança e diminuir os riscos em
ambientes de TI, pois possui a facilidade da auditoria dos códigos.
Pelos motivos expostos, esta CPI julga oportuno o
oferecimento de Indicação determinando à Administração Pública Federal
(APF),
Federal, direta e indireta, a adoção, no âmbito de cada entidade, de: que: i) adote guia de boas
práticas em segurança da informação, incluindo avaliação informação;
ii) implemente processo de mitigação do risco e gestão de seus efeitos e avaliando
riscos de segurança da informação; iii) avalie a possibilidade de da adoção de
tecnologias, padrões e formatos abertos e livres; ii) medidas
concretas livres no estabelecimento de
controles de segurança da informação; iv) realize auditoria em sua
infraestrutura pública de TI, e; iii)
celebração de TI; v) celebre instrumentos de cooperação técnica
entre autoridades públicas de segurança cibernética e entidades privadas. privadas; vi)
direcione esforços para a consecução dos objetivos propostos na Estratégia de
Segurança da Informação e Comunicações e de Segurança Cibernética da
APF, em especial instituir modelo de governança sistêmica de SIC e de
SegCiber.
(Parte III, 3.1)
[... nenhuma mudança ...]
3 – PROPOSIÇÕES LEGISLATIVAS EM TRAMITAÇÃO NA CÂMARA CUJA
DISCUSSÃO SE MOSTRA IMPORTANTE
Conforme apontado pelos Sub-Relatórios, verifica-se que
existem algumas proposições legislativas já tem trâmite nesta Casa e que
podem auxiliar na resolução dos problemas atinentes aos crimes cibernéticos e
que, por isso, devem ser amplamente discutidas por esta Casa. São eles:
a) Projeto de Lei nº 1776/15 (de autoria do Deputado
Paulo Freire), que “inclui no rol de Crimes Hediondos
os Crimes de Pedofilia”;
b) Projeto de Lei nº 3237/15 (de autoria do Deputado
Vinícius Carvalho), que “altera o Marco Civil da
Internet, Lei no 12.965, de 23 de abril de 2014,
dispondo sobre a guarda dos registros de conexão à
internet de sistema autônomo”;
c) Projeto de Lei nº 5555/2013 (de autoria do Deputado
João Arruda) e apensados, que tratam da divulgação
não autorizada de imagens íntimas das vítimas;
d) Projeto de Lei nº 3686/2015 (de autoria do Deputado
Ronaldo Carletto), que “tipifica o crime de intimidação
sistemática (Bullying), prevendo causa de aumento se
a conduta for realizada por meio da internet
(Cyberbullying)”;
e) Projeto de Lei nº 7544/2014 (de autoria do Deputado
Ricardo Izar), que tipifica a conduta de incitação virtual
ao crime;
f) Projeto de Lei nº 1755/2015 (de autoria do Deputado
Raul Jungmann) e apensados, que tratam da
criminalização da divulgação indevida, na internet, de
informações pessoais;
g) Projeto de Lei nº 6726/2010 (de autoria do Deputado
Arnaldo Faria de Sá), que dispõe sobre o acesso de
autoridades às informações relativas à localização de
aparelhos de telefonia celular. celular;
h) Projeto de Lei no 2315/15 (de autoria do Dep. Enio
Verri), que trata do cadastro da telefonia pré-paga. pré-paga;
i) Projeto de Lei nº 2801/2015 (de autoria do Dep. JHC),
que altera a Lei Federal nº 9.394/1996 - que
Estabelece as diretrizes e bases da educação
nacional, para acrescentar finalidade ao Ensino Médio
no sentido de incluir a necessidade de educação
quanto aos meios telemáticos de comunicação e
comportamento e tecnologia.
4 – CONCLUSÕES DO RELATOR (DEPUTADO ESPERIDIÃO AMIN)
A CPI contou com a excelente condução por parte da Presidente do colegiado,
Deputada Mariana Carvalho, que procurou colocar em pauta, da forma mais
abrangente possível, todos os aspectos que envolvem a prática de crimes pela
internet, assim como soube de maneira extremamente hábil colocar em discussão,
de maneira imparcial, as quatro temáticas em que foi dividida esta CPI.
Por sua vez, os Sub-Relatores Sandro Alex, Rafael Motta, Daniel Coelho e
Rodrigo Martins também souberam explorar suas temáticas de maneira exemplar e
brindaram-nos com extraordinárias e profícuas colaborações e indicações de
oitivas para Audiências Públicas. Ademais, conduziram investigações próprias
com extrema desenvoltura. Nesta parte, gostaríamos de salientar também o clima
de cordialidade e de cooperação que predominou entre os pares integrantes desta
CPI ao longo das investigações, que se mostraram válidas e eficazes.
No curso dos inquéritos, esta CPI realizou cerca de trinta Audiências Públicas
e ouviu depoimentos de mais de 100 convidados e convocados. Prestaram
contribuições e esclarecimentos autoridades regulatórias, de investigação das
polícias Estaduais e Federal, dos Ministérios Públicos Estaduais e Federal,
assim como entidades diversas, tais como de defesa de crianças e adolescentes,
de representação de classe e de defesa do consumidor. Também foram ouvidos
especialistas em diversas áreas do direito, principalmente na incipiente área
do direito digital. Também de fundamental importância para o entendimento da
internet e para a compreensão de como os crimes cibernéticos são cometidos,
chamamos as principais empresas da internet, de telecomunicações e de segurança
na grande rede.
Com base nesses depoimentos, conseguimos realizar uma proveitosa fase de
instrução nesta CPI que nos permitiu fazer um raio-X pormenorizado do setor,
entendendo o papel de cada instituição nessa infindável cadeia de valores em
que se traduz a internet.
Como era o objetivo desta CPI, fomos instruídos nas práticas nefastas de crimes
digitais que ocorrem na grande rede e verificamos, através dos depoimentos e
das investigações, as agruras pelas quais passam
as vítimas e, também, as autoridades de investigação. Soou uníssono nos
depoimentos a necessidade de melhorar alguns tipos penais, certos dispositivos
legais, procedimentos de investigação, o aparelhamento de nossas autoridades de
investigação e, também, a educação dos internautas.
Desafortunadamente, a finalização dos trabalhos desta Comissão não nos
possibilitou aprofundar em diversas questões que surgiram nas discussões e que
merecem, sem lugar a dúvidas, aprofundamentos.
Todavia, diversos também foram os temas tratados. Cabe enumerar alguns
principais, nestas conclusões ao relatório:
1. De maneira concomitante ao andamento das investigações conduzidas pelo
Sub-Relator afeito à área de publicidade, Deputado Sandro Alex, a Polícia
Federal deflagrou a operação Barba Negra que resultou no fechamento de sítio de
internet que oferecia ilegalmente filmes e outros conteúdos audiovisuais. A
denúncia apresentada nesta CPI pelo Deputado Sandro Alex, desencadeou, também,
mudanças nos procedimentos de alocação de publicidade governamental na
internet. Conforme se evidenciou na audiência pública realizada, no dia
08/10/2015, com o Ministro Edinho Silva, da Secretaria de Comunicação Social da
Presidência da República, propagandas de empresas tradicionais e até do governo
estavam sendo veiculadas em sítios utilizados para a prática de crimes
cibernéticos, tais como o streaming ilegal de filmes e de séries de televisão.
Na ocasião o Ministro declarou que
encaminharia à Comissão “todo o ranqueamento [isto é, investimento em
publicidade], assim como o ranqueamento das redes sociais para que a Comissão
tenha todas as informações necessárias sobre o que é investido em publicidade,
por meio da SECOM”. Ressaltamos que essas informações não foram encaminhadas
até o encerramento dos trabalhos da CPI. Portanto, encaminhamos Requerimento
de Informações solicitando esses dados. Portanto, as sugestões desta CPI
de elaboração de um Código de Boas Práticas na Publicidade da Internet e
assinatura de TAC (Termo de Ajustamento de Conduta) entre o Ministério Público
Federal e associações de mídia digital, assim como da necessidade de inclusão
de dispositivo que permita o bloqueio desse tipo de sítios de conteúdo pirata
diretamente pela Comissão de Direito Autoral, já em andamento, são extremamente
necessárias. No entanto, ficou evidente que essas medidas representam apenas o
começo das ações necessárias. É preciso continuar nas investigações dos sítios
de internet que comercializam e oferecem produtos e serviços ilegais com o
auxílio da grande rede. É preciso, também, que a Polícia Federal e o Ministério
Público continuem as investigações relacionadas à operação Barba Negra, com o
intuito de chegar àqueles que verdadeiramente financiam esses sites que
oferecem conteúdo ilícito;
2. O comércio eletrônico é uma grande categoria de práticas criminosas em que
não foi possível realizar investigações. Sabemos que, no Brasil, par e passo o
crescimento do comércio eletrônico, multiplicam-se as modalidades de crimes
relacionados a esse tipo de transações. Faz-se imprescindível entranhar-se
nessas práticas, dimensionar prejuízos e verificar as melhores práticas para
mitigar esse mais novo dreno na economia brasileira;
3. As investigações sobre possíveis crimes à ordem tributária praticados por
empresas de internet - e mediante o uso da internet - revelou a necessidade de
aprofundamento das investigações na temática. A tributação dos serviços
prestados pela internet é de difícil conceituação e perpassa o arranjo
federativo e até as fronteiras do País. As oitivas evidenciaram entendimentos e
práticas tributárias contraditórias que salientam a necessidade de atuação na
área. Tendo em vista a importância crescente da internet na economia de modo
geral, é evidente que a temática precisa ser melhor esclarecida. É necessário
que as autoridades tributárias e o Parlamento continuem as investigações sobre
as práticas fiscais e o recolhimento de impostos por parte das empresas de
internet;
4. Na questão dos crimes praticados contra o sistema financeiro, esta CPI
obteve significativo avanço com a colaboração do Banco Central e da Polícia
Federal. Tomando-se como parâmetro, conservador, de que 0,1% do risco
operacional da Caixa seja devido à incidência de crimes cibernéticos, foi
possível estimar que esse tipo de fraudes desvia, no mínimo, R$ 600 millhões de
correntistas. Contudo, o estudo da Sub-Relatoria indicou a necessidade de
aprofundamento das investigações por parte do Congresso Nacional. As Indicações
ao Banco Central e Polícia Federal no sentido de melhorar e compartilhar as
informações, à esfera Judicial para a criação de Varas Especializadas e o
Projeto de Lei permitindo o perdimento de bens desses criminosos são medidas
acertadas propostas por este colegiado;
5. Ficou claro nesta CPI, e os depoimentos apenas reforçaram o entendimento do
setor, que a primeira barreira na segurança da internet são os próprios
usuários. Por isso, os Sub-Relatores desta CPI concluíram pela sugestão de
elaboração de Termo de Cooperação para a educação de internautas, a ser
celebrado
pelas principais entidades atuantes na internet. São Ressaltamos
que o Ministério Público Federal já possui importante programa de
educação digital nas escolas, estabelecido pela Portaria
PGR/MPF no 753/15. Nesse contexto esta CPI propõe dois os
Termos propostos, um de Cooperação. O primeiro, com o objetivo de promover
a educação de crianças e adolescentes nas escolas e outro escolas, levando
em consideração o programa já em desenvolvimento pelo
Ministério Público Federal. O segundo, voltado para a
educação de os adultos.
Ainda na questão da educação de crianças e adolescentes, o Sub-Relator Dep.
Rafael Motta sugere o envio de Indicação ao Ministério da Educação para que
seja incluída a oferta obrigatória de noções de educação digital nas escolas
públicas e privadas de ensino fundamental e médio. Em que pese essas medidas
busquem mitigar o desconhecimento da população com as melhores práticas para o
uso seguro da internet, as investigações indicam que uma melhor discussão dos
procedimentos e das ações a serem promovidas
devem ser objeto de maior estudo por parte do Congresso; Congresso.
Ressaltamos que essa preocupação é também do objeto do
Projeto de Lei nº 2801/2015, do Deputado JHC, razão pela qual
apoiamos a sua discussão nesta Casa;
6. Desafortunadamente, a distribuição de conteúdos pedófilos é uma
execrável prática que ficou facilitada de sobremaneira pela
internet, como constatado no relatório do Sub-Relator Rafael
Motta. Por isso, apoiamos a discussão do Projeto de Lei
1.776/15, em tramitação, que torna crimes hediondos os
delitos ligados à pedofilia;
7. Verificou-se, também, a necessidade de coibir oferta de
conteúdos criminosos, extremamente deletérios à sociedade. A
indisponibilização de serviços ilegais prestados a partir de
provedores de hospedagem localizados em território brasileiro
pode ser bastante simples, uma vez que basta ao juiz determinar
ao provedor em território brasileiro a retirada de conteúdos que
violam direitos de qualquer gênero. O mesmo não se verifica para
serviços ilegais hospedados para fora da jurisdição do Estado
Brasileiro. Nesses casos, conforme apontado pelos Sub-Relatores
Deputados Sandro Alex e Rafael Motta, o bloqueio ao acesso ao
conteúdo criminoso é a única forma, em certos casos extremos
em que já foram esgotadas alternativas cabíveis, de se garantir a
proteção efetiva dos usuários. Por isso, após o recebimento de
frutíferas contribuições de diversas entidades e autoridades,, autoridades,
propomos Projeto de Lei que possibilite, em casos extremos,
o bloqueio de a conteúdos ou, em último caso, aplicações de
internet ofertadas no exterior e que não possuam
representação no País e que sejam consideradas criminosas
por ordem judicial. judicial e que cuja pena mínima cominada for igual
ou superior a dois anos. Optamos por essa delimitação, pois
nesses casos a atuação de autoridade judicial brasileira depende
de atuação de órgão de justiça internacional, o que dificulta a
cessação da oferta. Nesse rol encontrar-se-iam enquadrados
aqueles sítios que veiculam conteúdos que violem direito autoral
com o intuito de lucro (cuja pena mínima é de 2 anos), crimes
ligados a pedofilia (3 anos), medicamentos proibidos (10 anos) e
terrorismo (12 anos), os quais foram objeto de grande
preocupação durante os trabalhos desta CPI, Em contrapartida,
ofensas menores como crimes contra a honra não estariam ao
alcance do dispositivo, sendo outras as medidas cabíveis já
prescritas em Lei.
8. A abordagem de bloquear conteúdos ou aplicações, apenas em
último caso e somente quando a autoridade brasileira não tem
outra forma de atuação célere, guarda paralelo em muitos outros
países democráticos. A lei chilena, por exemplo, que trata a
neutralidade da rede de forma extremamente ampla, não excetua a possibilidade de veda o
bloqueio a sítios que
ofereçam conteúdos e garante o acesso apenas a serviços ilegais ou a aplicações
legais (Ley 20.453, art. 24H). 24H).. A Regulação 2120, de 2015, do
Conselho e do Parlamento da Europa, em seu art. 3 o, garante aos
usuários o acesso a conteúdos e serviços, desde que estes sejam
legais, permitindo o seu bloqueio para o cumprimento de leis ou
ordens judiciais. Da mesma forma, nos Estados Unidos a
Resolução de Proteção e Promoção da Internet Aberta, de 13/04/2015, determina que o
usuário tem direito a acessar destinos legais na internet
13/04/2015 e o Código de Regulações Federais (CFR, Título 47,
Capítulo I, Subcapítulo A, Parte VIII, Seção 8.5), determina que os
provedores de internet não podem bloquear conteúdos legais. Assim, sítios e
conteúdos considerados ilegais pela justiça No
entanto, na Seção 8.9 do Código, é determinado que não são passíveis
proibidos esforços razoáveis por provedores de acesso com o
intuito de resolver infrações a direito autoral ou a outras atividades
ilegais. Outrossim, é mister ressaltar que, assim como divulgado
por diversas associações ligadas à proteção de direitos autorais,
nos mais variados campos, esse tipo de proteção existe
serem bloqueados em diversos países democráticos.
8. com democracias solidamente estabelecidas, entre elas
Reino Unido, Austrália, Espanha, França, Coreia do Sul, Bélgica,
Dinamarca, Alemanha, Suécia, Holanda e Itália.
9. A retirada da fronteira física entre as pessoas, a facilidade de uso,
a ubiquidade e a gratuidade das redes sociais teve como efeito
colateral o aumento das ofensas contra a honra das pessoas. de ataques pessoais e da postagem de
conteúdos ofensivos. Entendemos que, conforme assinalou o
Sub-Relator Deputado Daniel Coelho, a legislação deveria ser
atualizada no sentido de que os conteúdos considerados
infringentes e já retirados mediante ordem judicial, continuem
indisponíveis em caso de repetições nas mesmas aplicações. Por
isso, oferecemos Projeto de Lei alterando o Marco Civil da
Internet, determinando que as aplicações de internet mantenham os conteúdos excluídos retirem
conteúdo infringentes em casos de replicação;
9. replicação, quando
notificados pelo usuário. Destacamos que esta proposta se
beneficiou de valorosa contribuição do CGI.br. Entendemos que
esta variante é adequada, pois evita a necessidade de
policiamento contínuo por parte das aplicações de internet, o que
seria dificultoso para entidades de menor envergadura econômica
e, por isso, não é deletério para a inovação na rede ou a atração
de investimentos. Ressaltamos, no entanto, que a proposta da
entidade incorre na problemática de considerar idêntico aquele
conteúdo “que contenha parte majoritária e que reproduza a
infração decorrente de conteúdo removido por ordem judicial
anterior”, tal como previsto em sua contribuição. Entendemos que
esta extensão gera subjetivismo e, portanto, não a acolhemos.
Por fim nesta temática, aponte-se que a medida proposta é
distinta de uma implementação pura e simples de NOTICE AND
STAY DOWN, uma vez que inclui o aviso ao provedor de
aplicação por parte do usuário. A medida possui equivalentes
internacionais, por exemplo na corte alemã para o caso do
aplicativo Rapidshare, em 2012. O assunto também é objeto de
estudo nos Estados Unidos onde se encontra em Consulta
Pública a alteração à Seção 512 do Digital Millennium Copyright
Act.
10. Com relação a conteúdos atentatórios contra a honra, esta CPI
buscou incessantemente convidar personalidades atacadas por
essa mazela que contamina a internet. Foram diversos
requerimentos aprovados para convidar vítimas a prestarem
depoimento, mas todas elas declinaram por se tratar de assunto
extremamente doloroso e pessoal. Essa recusa é um forte
indicativo do grave transtorno que acarreta ser alvo desses
comentários e ações continuadas. O estudo da matéria,
entretanto, mostrou que a solução regulamentar para coibir esse
tipo de ataque é extremamente complexa. ESTA COMISSÃO
ESTUDA AINDA O MELHOR ENCAMINHAMENTO Entendemos que é
necessário encontrar formas para a proteção
MATÉRIA.
10. esta CPI se debruçou sobre a matéria ao longo cidadãos comuns
de ataques pessoais pela internet (tais como ameaças, e
cyberbulling) sem a necessidade de acionar a justiça. O
Parlamento deve dar uma resposta à excessiva judicialização de
direitos, tão criticada em um país de tantas desigualdades sociais
como a brasileira, em que o acesso à justiça não se dá da mesma
maneira para todos os cidadãos.
trabalhos
11. A multiplicação de serviços oferecidos pela internet, aliada à
facilidade na criação de perfis e ao alto alcance dos aplicativos de
internet, em especial das redes sociais, fazem com que usuários
estejam cada vez mais expostos a ataques e malfeitores tenham
mais opções para a prática de crimes. Nesse sentido, a rápida
identificação de agressores é de fundamental importância para
limitar os danos causados. Pela sistemática introduzida pelo
Marco Civil da Internet, a identificação dos autores de malfeitos na
internet precisa necessariamente passar por três fases. A primeira
junto à empresa de aplicação para a obtenção do IP (Internet
Protocol), a segunda, junto à autoridade de certificação para
obtenção da empresa que utiliza aquele IP e a terceira com a
operadora responsável pela conexão do internauta para a
obtenção do nome e endereço. Considerando que o endereço IP
é um dado imprescindível para a célere investigação da autoria de
conteúdos criminosos, entendemos que permissão de acesso ao
endereço IP à autoridade de investigação, independentemente de
ordem judicial, facilitará facilitaria a identificação do autor, o que diminuiria
os tempos de atuação e aumentaria a eficácia no combate aos
crimes digitais. Entretanto, entendemos que essa proposta é
extremamente controversa, pois há diversos setores da sociedade
organizada que entendem que essa previsão vai de encontro aos
preceitos constitucionais de respeito às garantias e liberdades
individuais. Por esses motivos, acolhemos a proposta do
Deputado Daniel Coelho de apoiar o debate em torno do Projeto
de Lei do Senado 730, de 2015, de autoria do Senador Otto
Alencar, que altera o dispõe sobre investigação criminal e a obtenção
de meios de prova de crimes praticados na internet, aprovada
naquela Casa em 18/04/2016. Consignamos que, assim como
ressaltado pelo Deputado Leo de Brito, essa análise deve levar
em consideração os princípios, garantias, direitos e deveres
constantes no Marco Civil da Internet para permitir que a autoridade de
investigação requisite, independentemente de autorização
judicial, endereço IP que identifique conteúdo ou serviço
específico, objeto de investigação criminal, mantidos por
provedor de conexão ou de aplicação de Internet. De maneira
acertada o Sub-Relator promove a transparência do processo
ao incluir a obrigação de envio de extrato das requisições
efetuadas pelas autoridades ao Ministério Público e
corregedoria de polícia, assim como a notificação ao
internauta, quando não prejudicar a investigação. Ademais,
eventual prorrogação de acesso deverá ser autorizada
judicialmente. Medidas estas que consideramos indispensáveis
para assegurar efetividade e evitar abusos nas investigações.
Ressaltamos que o acesso a certos dados pessoais sem ordem
judicial expressa já é permitida em certos casos. A Lei das
Organizações Criminosas (Lei no 12.850/13) e a Lei da Lavagem
de Dinheiro (Lei nº 9.613/98) já determinam que a autoridade de
investigação poderá ter acesso aos dados cadastrais de
INVESTIGADOS. Portanto, a medida aqui proposta guarda
paralelo com medidas nesse sentido já consagradas em Lei;
12. A melhor tipificação do crime de invasão de dispositivo informático
é importante contribuição desta CPI, conforme extensamente
debatido pelo Deputado Rodrigo Martins. O Projeto de Lei
oferecido retira a questão da motivação e determina que a
invasão, com ou sem vantagem pessoal, é criminalizada,
desde que haja exposição dos dados informatizados a risco
de divulgação ou de utilização indevida. Aponte-se neste
particular, que não se está alterando a ação penal relacionada ao
tipo, que continua sendo condicionada à representação, a não ser
em casos específicos como contra a Administração. Dessa forma,
invasões em que o proprietário particular ou vítima, não
vislumbrar a necessidade de dar início a investigação criminal,
isso não ocorrerá.;
13. Foi verificado que grande parte dos usuários navega na internet
sem a devida guarda dos respectivos registros, em que pese a
intenção do Marco Civil da Internet para tal. O PL 3237 3237/15
preenche corretamente uma lacuna legal ao melhor especificar as
diversas categorias de provedores de acesso. Ademais, a CPI e
em especial a Sub-Relatoria do Deputado Rodrigo Martins
verificaram que a adoção do protocolo IPv6 contribuiria para
resolver essa questão do anonimato. Portanto, declaramos nosso
apoio ao PL 3.237/15 assim como o oferecimento de
Indicação à Anatel para a implantação do IPv6 ou de
tecnologia similar;
14. A falta de estrutura específica para o combate aos crimes
cibernéticos nas polícias estaduais e a necessidade de um maior
desenvolvimento desta na Polícia Federal ficaram evidentes nos
depoimentos a esta CPI em diversas Audiências. Esta
investigação tomou conhecimento de estruturas formalmente
constituídas para o combate e estes tipos de crimes apenas nos
Estados da Bahia, Maranhão, Mato Grosso do Sul, Paraná e Rio
Grande do Sul. O Fundo Nacional de Segurança Pública (FNSP),
que deveria suprir os recursos necessários para o
desenvolvimento de projetos de combate aos crimes cibernéticos
possui parcos recursos e execução orçamentária. Nesse sentido,
consideramos acertada a constatação do Sub-Relator Rodrigo
Martins que conclui pela necessidade de oferecimento de Projeto
de Lei autorizando que 10% das receitas do Fistel (Fundo de
Fiscalização das Telecomunicações) sejam transferidos transferidas para o
Tesouro Nacional possam ser utilizadas para o financiamento
das estruturas de combate a crimes cibernéticos. Ressalte-se
que não está se propondo retirar recursos do setor ou da
agência do setor, a Anatel. O projeto dá nova destinação aos
recursos já recolhidos ao Tesouro e não aplicados pela Lei Orçamentária na
fiscalização do setor. Nesse mesmo segmento, oferecemos Indicação para
que sejam estabelecidos convênios para o uso conjunto desses recursos entre as
esferas Federal e Estadual. Além disso, propõe-se que a investigação dos casos
de crimes cibernéticos que possuam repercussão interestadual ou internacional e
que demandem uma repressão uniforme fique a cargo da Polícia Federal;
15. Assim como a internet abriu uma nova modalidade de crimes
praticados contra a sociedade, o uso da telefonia celular, em
especial a pré-paga, contribui em grande escala para o
acometimento destes. Esta CPI identificou que as operadoras são
omissas quanto à integridade do cadastro obrigatório por lei. lei,
assim como verificou que o número de celular é informação
fundamental para a obtenção de cadastro nas principais
aplicações de internet. Por isso malfeitores se aproveitam dessa
falha nos cadastros para praticarem crimes no anonimato. Para
intentar estancar essa situação,
isso, encampamos sugestão do Sub-Relator SubRelator Deputado Rodrigo Martins de Proposta de
Fiscalização e Controle para que, com auxílio do Tribunal de
Contas da União, sejam verificadas quais ações foram
tomadas pela Anatel na fiscalização da integridade do
cadastro do pré-pago;
16. A prática do cyberbullying tem resultado em graves danos,
principalmente em crianças e adolescentes, e esta CPI constatou
a infelicidade da ocorrência de mortes decorrentes dessas
práticas. Em face desse problema, esse Parlamento, inclusive, já
teve a oportunidade de aprovar a Lei nº 13.185, de 2015, que
entrou em vigor no início do presente ano e institui o Programa de
Combate à Intimidação Sistemática (Bullying). Por se tratar de
uma norma recente, porém, ainda não foi possível avaliar sua
eficácia e suas eventuais falhas.
17. A auditoria do TCU em 30 instituições e o levantamento de
Governança de TI em 372 organizações governamentais
indicaram que a segurança das redes públicas está aquém do
desejado. Ademais, os depoimentos das autoridades de
inteligência ligadas à Presidência da República indicaram que os
ataques cibernéticos são ameaças reais e constantes. Nesse
contexto, a CPI conclui pela necessidade, apontada pela SubRelatoria do Deputado Rodrigo Martins, do Poder Público adotar: adotar,
de maneira resumida: i) guia de boas práticas em segurança da
informação; ii) medidas concretas para o reforço e a correta
implantação de plano nacional de segurança cibernética; iii)
medidas concretas de auditoria em sua infraestrutura pública
de TI, e; iii) iv) celebração de instrumentos de cooperação
técnica entre autoridades públicas de segurança cibernética
e entidades privadas;
18. O fenômeno crescente de aplicativos de mensageria, tais como o
Whatsapp e o Viber, representam não só uma mudança no
modelo de negócios no setor de telecomunicações, mas um novo
paradigma de segurança que precisa ser melhor equacionado.
Esses serviços são criptografados, na maioria das vezes não
possuem representação no país e veiculam todo tipo de conteúdo,
legal e ilegal. É preciso encontrar uma solução que equacione
liberdade, inovação e livre iniciativa à segurança. É inadmissível
que quadrilhas se utilizem desses aplicativos para praticar crimes
e que as autoridades não tenham acesso a esses sistemas. Ao
mesmo tempo, porém, essas são ferramentas indissociáveis da
vida moderna. Os recentes casos de bloqueio do Whataspp em
todo o Brasil e da prisão do vice-presidente do Facebook na
América Latina colocaram em evidência esse conflito. Todavia,
esta não é uma realidade apenas brasileira. Nos Estados Unidos
ocorreu pugna semelhante entre o FBI e a Apple, quando a
autoridade de investigação daquele país solicitou ao fabricante a
quebra da segurança de um telefone Iphone de suposto terrorista.
Em que pese a existência do conflito, o FBI conseguiu, por fim,
acessar o dispositivo. Já no caso brasileiro, as investigações
ficam rotineiramente prejudicadas, possivelmente devido a falta
de disponibilidade de tecnologia por parte das autoridades de
investigação. Os episódios indicam que medidas precisam ser
tomadas. Nesse sentido, e como forma de melhor balizar as
decisões judiciais e o atendimento à legislação brasileira por parte
das empresas estrangeiras com atuação no País, a CPI acolhe a
proposta do Sub-Relator Deputado Rodrigo Martins que oferece
Projeto de Lei incluindo novo parágrafo ao artigo 22 do MCI,
para esclarecer, definitivamente, que filial, sucursal,
escritório ou estabelecimento situado no País respondem
solidariamente pelo fornecimento de dados requisitados
judicialmente de empresas com atuação no país e cuja matriz
esteja situada no exterior;
19. A CPI avançou ainda em outros assuntos que embora afeitos à
temática dos crimes cibernéticos, fugiam ao escopo inicial das
investigações. No entanto, estas indicaram que a CPI deveria se
posicionar sobre esses aspectos. Em primeiro lugar, a CPI
recebeu diversas reclamações acerca de práticas de tarifação e
de bilhetagem das operadoras de telefonia, em especial no que
diz respeito ao pacote de dados da internet móvel. Para dirimir a
questão, a CPI acolhe sugestão de nossa Presidente Deputada
Mariana Carvalho de oferecer Proposta de Fiscalização e
Controle para que, com o apoio do Tribunal de Contas da
União, possa-se verificar como a Anatel tem realizado o
acompanhamento e o controle da tarifação dos pacotes de
dados da telefonia móvel. Esta medida reveste-se de renovada
atualidade em face à recente polêmica do possível corte da
conexão à internet de usuários que tiverem excedido a franquia,
por parte das operadoras de telefonia. Em segundo lugar, a CPI
ouviu representantes da Volkswagen para discutir o escândalo do
software que burla a legislação ambiental. Certos da necessidade
de aprofundar essas investigações, a CPI acolhe a sugestão do
Deputado JHC de sugerir a continuidade das investigações
acerca da introdução de códigos maliciosos com as demais
montadoras de veículos em colegiado específico. Em terceiro
lugar, ouvimos as inquietudes acerca da segurança nacional e da
possibilidade de ataques terroristas durante os Jogos Olímpicos.
Sensibilizados com a temática, os membros desta CPI também
acolhem sugestão dos Deputados Delegado Eder Mauro e Silas
Freire para sugerir o aprofundamento das implicações de
eventuais atentados terroristas por colegiado específico. Em
quarto e último lugar, a CPI acolhe sugestão do Dep. Paulo
Henrique Lustosa no sentido de encaminhar proposta ao
Centro de Estudos e Debates Estratégicos para que
desenvolva estudo sobre o impacto e a necessidade de
regulação na questão do bigdata.
20. Em diversos outros assuntos a CPI não dispôs de tempo hábil
para investigar, dentre os quais desejamos destacar os mais
importantes. Em primeiro lugar, a deep web. Em verdade, o
colegiado foi apenas alertado da existência, mas não pôde
avançar no seu entendimento. Questões como quais sítios
hospedam conteúdos da deep web no Brasil, quem são os
usuários e como se financiam os pontos de acesso à rede
profunda são alguns dos pontos que devem ser esclarecidos e
que possuem grande importância na mitigação dos crimes
cibernéticos. Uma segunda temática que merece maior
aprofundamento é relativa aos bots (robots, internet bots ou web
robots), que simulam a ação humana de forma repetitiva e
padronizada no meio digital, podendo, por exemplo, aumentar a
visualização de um site de forma indevida, o que pode acarretar
em fraude no pagamento de visualizações e publicidade na
internet. Esses são alguns dos tópicos em que maiores e mais
profundos estudos são necessários.
21. Também não houve tempo hábil para avançar em investigações
relacionadas a agências de comunicação na internet que podem
estar ligadas a esquemas de financiamento ilegal de campanhas.
Nesse particular, todavia, foi divulgado recentemente que a dona
da Pepper Interativa assinou acordo de colaboração premiada na
Operação Acrônimo, o que evidencia que os órgãos competentes
já estão investigando essas supostas irregularidades.
22. Com relação aos Projetos de Lei em tramitação, os Sub-Relatores
indicaram quais proposições podem levar ao aperfeiçoamento da
legislação brasileira acerca do tema, após, claro, sua ampla
discussão nessa Casa. A saber: os PLs:
i) 1776/15 (de autoria do Deputado Paulo Freire), que inclui no rol de crimes
hediondos os crimes de pedofilia;
ii) 3.237/15 (de autoria do Deputado Vinícius Carvalho), que dispõe sobre a
guarda dos registros de conexão à internet de sistema autônomo;
iii) 5555/2013 (de autoria do Deputado João Arruda) e apensados, que tratam da
divulgação não autorizada de imagens íntimas das vítimas (a vingança pornô);
iv) 3686/2015 (de autoria do Deputado Ronaldo Carletto), que “tipifica o crime
de intimidação sistemática (Bullying), prevendo causa de aumento se a conduta
for realizada por meio da internet (Cyberbullying)”;
v) 7544/2014 (de autoria do Deputado Ricardo Izar), que tipifica a conduta de
incitação virtual ao crime;
vi) 1755/2015 (de autoria do Deputado Raul Jungmann) e apensados, que tratam da
criminalização da divulgação indevida, na internet, de informações pessoais; e
vii) Projeto de Lei nº 6726/2010 (de autoria do Deputado Arnaldo Faria de Sá),
que dispõe sobre o acesso de autoridades às informações relativas à
localização de aparelhos de telefonia celular. celular;
viii) Projeto de Lei nº 2801/2015 (de autoria do Dep. JHC), que altera a Lei
Federal nº 9.394/1996 - que Estabelece as diretrizes e bases da educação
nacional, para acrescentar finalidade ao Ensino Médio no sentido de incluir a
necessidade de educação quanto aos meios telemáticos de comunicação e
comportamento e tecnologia, e;
ix) Projeto de Lei do Senado 730, de 2015, de autoria do Senador Otto Alencar,
que dispõe sobre investigação criminal e a obtenção de meios de prova de crimes
praticados na internet.
Todos esses projetos merecem um debate aprimorado neste Parlamento, que
certamente possui melhoramentos a oferecer.
Esses foram os principais temas que, em maior ou menor grau, esta CPI abordou.
Portanto, concordando com as propostas apresentadas pelos Sub-Relatores,
Deputados Sandro Alex, Rafael Motta, Daniel Coelho e Rodrigo Martins, conclamo
os nobres pares à aprovação do presente Relatório Final da CPI dos Crimes
Cibernéticos.
PARTE III – PROPOSIÇÕES E RECOMENDAÇÕES
1 – PROJETOS DE LEI
1.1 – PROJETO DE LEI QUE ESTABELECE, COMO EFEITO DA
CONDENAÇÃO, O PERDIMENTO PERDA DOS INSTRUMENTOS DO CRIME
DOLOSO. DOLOSO DESTINADOS À PRÁTICA REITERADA DE CRIMES.
(Decorrente da Constatação item 2.1.3)
PROJETO DE LEI Nº , DE 2016
(Da Comissão Parlamentar de Inquérito destinada a investigar a prática de
crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Estabelece a perda dos instrumentos
do crime doloso, em qualquer hipótese,
como efeito da condenação. doloso destinados à prática
reiterada de crimes.
O Congresso Nacional decreta:
Art. 1º Esta Lei estabelece a perda dos instrumentos do
crime doloso como efeito da condenação. destinados à prática reiterada de crimes.
Art. 2o A alínea “a” do O inciso II do art. 91 do Decreto-Lei nº 2.848, de 7
de dezembro de 1940, passa a vigorar com a acrescido da seguinte redação: alínea “c”:
“Art. 91. ...............................................................................
.............................................................................................
II - ........................................................................................
a) .............................................................................................
c) dos instrumentos do crime doloso, em qualquer
hipótese, e dos instrumentos do crime culposo, desde ainda que consistam em coisas cujo fabrico, alienação, uso,
porte ou detenção constitua fato ilícito;
....................................................................................”(NR) de origem
lícita, quando demonstrado que sua utilização destinava-se à prática
reiterada de crimes.” (NR)
Art. 3º Esta lei entra em vigor na data da sua publicação.
JUSTIFICAÇÃO
Tradicionalmente, quando se fala em repressão ao crime,
a primeira medida que vem à cabeça diz respeito à privação da liberdade
daqueles que delinquem.
Todavia, essa mentalidade vem mudando nos últimos
tempos, pois outras medidas – como o perdimento de bens, por exemplo – têm
se mostrado como um importante instrumento de combate à criminalidade.
Afinal, o confisco de bens e valores acaba promovendo a asfixia econômica de
certos crimes ou grupos criminosos.
Por essa razão, propõe-se que os instrumentos do crime
doloso, em qualquer hipótese, mesmo que de origem lícita, sejam perdidos em favor da União,
quando utilizados reiteradamente para a pática de crimes, ressalvado o direito
do lesado ou de terceiro de boa-fé. Aponte-se que, na sistemática atual do
Código Penal, se determinado indivíduo utiliza de um aparato de origem lícita
(computadores, por exemplo) para a prática reiterada de crimes cibernéticos,
esse bem, após periciado, será restituído ao criminoso.
Entendemos, porém, que os instrumentos que o indivíduo
utiliza intencionalmente para a prática reiterada de crimes não podem lhe ser
restituídos. Tal medida, além de ser uma pena eficaz contra a prática de
delitos, impede que o mesmo instrumento seja novamente utilizado para
práticas ilícitas.
Aponte-se, por fim, que tal medida encontra amparo no
texto constitucional, ao assentar que uma das penas que pode ser adotada
pela lei é exatamente a “perda de bens” (art. 5º, inc. XLVI, alínea “b”).
Ressalte-se, por fim, que autoridades de investigação
afirmaram a esta CPI que essa medida pode aprimorar, por exemplo, o
combate às fraudes bancárias eletrônicas, que, nos últimos anos, gerou
prejuízo de bilhões de reais às instituições financeiras e, por consequência, aos
seus correntistas.
Pelos motivos elencados, os membros da CPI dos Crimes
Cibernéticos solicitam a aprovação do presente Projeto de Lei.
Sala das Sessões, em de de 2016.
1.2 – PROJETO DE LEI PARA ALTERAR A REDAÇÃO DO ART. 154-A DO
DECRETO-LEI Nº 2.848, DE 7 DE DEZEMBRO DE 1940, PARA AMPLIAR A
ABRANGÊNCIA DO CRIME DE INVASÃO DE DISPOSITIVO INFORMÁTICO.
(Decorrente da Constatação item 2.4.1)
[... nenhuma mudança ...]
JUSTIFICAÇÃO
Conforme apurado por esta Comissão Parlamentar de Inquérito, a legislação
brasileira ainda é muito incipiente no que diz respeito aos crimes
cibernéticos.
De fato, um dos únicos crimes que pode ser chamado de “crime cibernético
próprio” previstos em nosso ordenamento jurídico é aquele inserido no art.
154-A do Código Penal pela Lei nº 12.737, de 30 de novembro de 2012 (Lei
Carolina Dieckmann), comumente chamado de “invasão de dispositivo informático”.
Todavia, tal dispositivo foi elaborado de tal forma que diversas condutas que
deveriam ser penalizadas não se encontram abrangidas pelo tipo penal. Para se
ter uma ideia do absurdo, conforme afirmou a Dra.
Fernanda Teixeira Souza Domingos, Procuradora do Ministério Público Federal,
perante esta CPI, “a lei chama-se Lei Carolina Dieckmann, mas não abarcou a
própria situação que a atriz sofreu, que foi a obtenção e exposição de dados
pessoais privados”.
Dessa forma, não há dúvida que a legislação precisa ser aprimorada neste
particular. É com esse intuito que apresentamos o presente projeto de lei, em
grande parte inspirado na Lei nº 109/2009, de Portugal (legislação elogiada
nesta Comissão por especialistas em crimes cibernéticos) e no projeto do novo
Código Penal brasileiro, ainda em trâmite no Senado Federal. A proposta
determina que, caso os dados informatizados acessados indevidamente sejam
expostos a risco de divulgação ou de utilização indevida, a conduta será
criminalizada.
Ressalte-se que a conduta continua a ser punida apenas em sua
forma dolosa, ou seja, quando há a intenção de acessar sistema
informatizado contra a vontade de quem de direito. A modalidade
culposa apenas pode ser punida quando há expressa previsão legal (art.
18, inciso II, parágrafo único, do Código Penal), o que não é o caso
do tipo penal em questão. O que se propõe é, apenas, que não se exija
um dolo específico para a configuração do delito (ou seja, a
finalidade específica de “obter, adulterar ou destruir dados ou
informações” ou de “obter vantagem ilícita”, como consta da atual
redação). Isso porque o acesso indevido, independentemente da
finalidade, já viola os direitos relacionados à intimidade e à
privacidade da vítima.
Com este Projeto, busca-se suprimir do tipo, também, a necessidade de
que haja a violação de mecanismo de segurança. Afinal, repita-se, o
acesso indevido, por si só, já viola os direitos relacionados à
intimidade e à privacidade da vítima. Faz-se um paralelo com o crime
de invasão de domicílio, que não exige, para a sua configuração, que a
porta da residência esteja trancada.
A proposta exige para a configuração do delito, porém, que os dados
informatizados sejam expostos a risco de divulgação ou de utilização
indevidas, o que afasta a tipicidade de condutas que não possuem
qualquer ofensividade, como a simples violação de “termos de uso”, por
exemplo. Aponte-se por fim, que não se está alterando a ação
penal relacionada ao tipo, que continua sendo condicionada à
representação, a não ser em casos específicos como contra a
Administração. Dessa forma, invasões em que o proprietário
particular ou vítima, a vítima não vislumbrar a necessidade de dar
início a investigação criminal, isso não ocorrerá. que ativistas
do tipo hackers do bem e assemelhados,
Sala das Sessões, em de de 2016.
1.3 – PROJETO DE LEI VISANDO À ALTERAÇÃO DA LEI NO 5.070, DE 7
DE JULHO DE 1966, PARA AUTORIZAR O USO DOS RECURSOS DO
FISTEL POR ÓRGÃOS DA POLÍCIA JUDICIÁRIA.
(Decorrente da Constatação item 2.4.4)
[... nenhuma mudança ...]
JUSTIFICAÇÃO
A chamada Lei Azeredo, Lei no 12.735/12, foi aprovada após longa tramitação no
Congresso Nacional, na esteira do caso do vazamento das fotos da atriz Carolina
Dieckmann, que por sua vez resultaram na aprovação da Lei no 12.737/12. A Lei
Azeredo, na verdade, é o resultado da tramitação do PL 84/99, do Deputado Luiz
Piauhylino, que dispunha sobre diversos crimes na área de informática. A Lei
resultante foi bastante simplificada com relação às propostas originais, tendo
inclusive parte de seus dispositivos revogados. Apenas dois dispositivos
restaram. O primeiro dispõe sobre práticas de discriminação racial nos meios de
comunicação e o segundo determina que as polícias judiciárias estruturarão:
“[Art. 4o]... setores e equipes especializadas no combate à ação delituosa em
rede de computadores, dispositivo de comunicação ou sistema informatizado” Em
que pese essa disposição legal, os trabalhos da Comissão Parlamentar de
Inquérito dos Crimes Cibernéticos evidenciaram a falta de estrutura dos Estados
no combate a esses tipos de crimes. Tal como exposto por autoridades em
Audiências Públicas na CPI, muitas unidades da federação não contam com
delegacias especializadas ou setores específicos para cuidar com os diversos
tipos de males acometidos mediante o uso de equipamentos eletrônicos,
informáticos ou pela rede mundial de computadores.
De fato apenas os Estados da Bahia,
Mato Grosso do Sul, Maranhão, Paraná e Rio Grande do Sul, responderam
positivamente aos Ofícios desta CPI indagando acerca da existência de órgãos
especializados para o combate a esses crimes como dita a Lei de 2012.
Os diversos delegados ouvidos pelo colegiado foram unânimes em afirmar que a
maior responsável pela desestruturação e pelo não cumprimento da Lei 12.737/12
é a falta de recursos. Assim, a CPI dos Crimes Cibernéticos decidiu por propor
o presente projeto de lei identificando uma fonte perene de recursos para essas
atividades.
Neste contexto, o FNSP - Fundo Nacional de Segurança Pública
(criado pela Lei no 10.201/01), que possui provisão legal específica
para o apoio a projetos que tratem de reequipamento das polícias,
estabelecimentos de sistemas de informações e outros, surge como a
opção mais óbvia. Ocorre, no entanto, que este Fundo possui recursos
insuficientes e parca execução orçamentária. Segundo o sistema de
acompanhamento de execução orçamentária da Câmara dos Deputados, em
2013, pouco mais de R$200 milhões foram liquidados de uma previsão
orçamentária de R$ 640 milhões. Em 2014, repetiu-se essa realidade. Em
2015, menos ainda: apenas R$ 190 milhões foram liquidados de uma
previsão orçamentária de R$ 930 milhões. Certamente, com esses
valores, o fundo não poderá encampar todas as suas atribuições e
também promover projetos para a investigação dos crimes cibernéticos.
Essa realidade levou esta CPI a buscar fontes alternativas para o
financiamento desses tipos de investigações.
Nessa busca por novas fontes de recursos, a CPI deparou-se com o Fistel
– Fundo de Fiscalização das Telecomunicações -, que constituiu-se, na
prática, em fonte de financiamento do Governo Federal para as mais
distintas tarefas. Instituído pela Lei no 5.070/66, o fundo foi criado
para, dentre outras finalidades, o “aperfeiçoamento da fiscalização dos
serviços de telecomunicações existentes no País”. Assim, entendemos
que a estruturação das polícias judiciárias para o combate aos crimes
cibernéticos guarda total aderência com o principal objetivo do fundo,
quer seja a fiscalização no uso dos sistemas de telecomunicações, aí
inserida, logicamente, a rede mundial de computadores.
Ademais, cabe salientar que Entretanto, o fundo arrecada aproximadamente
R$ 2 bilhões anuais e já possui a previsão na Lei que o instituiu de
para que parte de seus recursos podem possam ser transferidos para o
Tesouro Nacional. A rubrica arrecada aproximadamente R$ 2 bilhões anuais
e, como é amplamente noticiado na imprensa, os seus recursos do fundo
são sistematicamente repassados ao Tesouro, principalmente para fins de
superávit fiscal. O Apenas algo em torno de R$ 400 milhões são
utilizados para a fiscalização do setor.
Devido a essa sistemática histórica adotada pelo Governo Federal,
entendemos que se quer a destinação de parte dos recursos já derivados
para o Tesouro Nacional poderiam ser reaplicados na estruturação das
polícias judiciárias para o combate aos crimes cibernéticos. Essa
aplicação guardaria total paralelismo com este projeto o principal
objetivo do fundo, quer seja a fiscalização no bom uso dos sistemas
de telecomunicações, uma vez que essa é a infraestrutura de suporte
aos dados que navegam pela rede mundial de computadores.
Por esses motivos, propomos que apenas 10% dos recursos repassados ao
caixa central da União União, aproximadamente R$ 160 milhões, e que,
portanto, o Governo decidiu em Lei Orçamentária por não utilizar
diretamente na fiscalização do setor, possam ser destinados no
combate a crimes cibernéticos. Como o projeto autoriza o uso de recursos e,
portanto, não determina o uso peremptório dos mesmos, entendemos que
todos os preceitos constitucionais e legais, como os constantes na Lei de
Responsabilidade Fiscal, Lei Complementar no 101/00, foram atendidos.
Assim, certos de que a aprovação desta Lei norteará as
ações do Governo Federal no sentido de estruturar as polícias judiciárias
estaduais no combate ao crime cibernético, contamos com o apoio dos nobres
pares para a aprovação da matéria.
Sala das Sessões, em de de 2016.
1.4 – PROJETO DE LEI QUE INCLUI OS CRIMES PRATICADOS CONTRA OU MEDIANTE
COMPUTADOR, CONECTADO OU NÃO A REDE, DISPOSITIVO DE COMUNICAÇÃO OU SISTEMA
INFORMATIZADO OU DE TELECOMUNICAÇÃO NO ROL DAS INFRAÇÕES DE REPERCUSSÃO
INTERESTADUAL OU INTERNACIONAL QUE EXIGEM REPRESSÃO UNIFORME. UNIFORME, QUANDO HOUVER INDÍCIOS DA
ATUAÇÃO DE ASSOCIAÇÃO CRIMINOSA EM MAIS DE UM ESTADO DA FEDERAÇÃO OU NO
EXTERIOR. (Decorrente da Conclusão do Relator item 4.12)
PROJETO DE LEI Nº , DE 2016
(Da Comissão Parlamentar de Inquérito destinada a investigar a prática de
crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Inclui os crimes praticados contra ou
mediante computador, conectado ou não a
rede, dispositivo de comunicação ou
sistema
informatizado
ou
de
telecomunicação no rol das infrações de
repercussão interestadual ou internacional
que exigem repressão uniforme. uniforme, quando
houver indícios da atuação de associação
criminosa em mais de um Estado da
Federação ou no exterior.
O Congresso Nacional decreta:
Art. 1º Esta lei inclui os crimes praticados contra ou
mediante computador, conectado ou não a rede, dispositivo de comunicação
ou sistema informatizado ou de telecomunicação no rol das infrações de
repercussão interestadual ou internacional que exigem repressão uniforme.
Art. 2º O artigo 1º da Lei nº 10.446, de 8 de março de
2002, passa a vigorar acrescido do seguinte inciso VII:
“Art. 1º
.......................................................................
..................................................................................
VII – crimes praticados contra ou mediante computador, conectado ou não
a rede, dispositivo de comunicação ou sistema informatizado ou de
telecomunicação, quando houver indícios da atuação de associação
criminosa em mais de um Estado da Federação ou no exterior.
.........................................................................” (NR)
Art. 3º Esta lei entra em vigor na data de sua publicação.
JUSTIFICAÇÃO
Conforme apurado por esta Comissão Parlamentar de
Inquérito, a legislação brasileira ainda é muito incipiente no que diz respeito
aos crimes cibernéticos.
Uma questão que chamou a atenção, por exemplo, diz
respeito à ausência de uma norma específica no que tange à competência para
a investigação desses delitos. Assim, os casos envolvendo crimes praticados
na internet – que geralmente possuem repercussão interestadual ou, até
mesmo, internacional – continuam sendo, na maioria das vezes, de
competência investigativa das policias civis estaduais.
Entendemos, porém, que esses delitos, quando
necessitarem de uma repressão uniforme, devem ficar a cargo da Polícia
Federal sempre que houver repercussão interestadual ou internacional. internacional e
houver indícios da atuação de associação criminosa em mais de um Estado da
Federação ou no exterior.
É com esse intuito que apresentamos o presente projeto
de lei.
Sala das Sessões, em de de 2016.
1.5 – PROJETO DE LEI DETERMINANDO A INDISPONIBILIDADE DE
CÓPIA IDÊNTICA DE CONTEÚDO RECONHECIDO COMO INFRINGENTE,
SEM A NECESSIDADE DE NOVA ORDEM JUDICIAL E DÁ OUTRAS
PROVIDÊNCIAS.
(Decorrente da Constatação item 2.3.1)
PROJETO DE LEI Nº
, DE 2016
(Da Comissão Parlamentar de Inquérito destinada a investigar a prática de
crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Altera o Marco Civil da Internet, Lei no
12.965, de 23 de abril de 2014,
determinando a indisponibilidade de cópia
idêntica de conteúdo reconhecido como
infringente, sem a necessidade de nova
ordem judicial e dá outras providências.
O Congresso Nacional decreta:
Art. 1º Esta Lei modifica o Marco Civil da Internet, Lei n o
12.965, de 23 de abril de 2014, determinando a indisponibilidade de cópia
idêntica de conteúdo reconhecido como infringente, sem a necessidade de
nova ordem judicial e dá outras providências.
Art. 2o A Lei no 12.965, de 23 de abril de 2014 – Marco
Civil da Internet, passa a vigorar acrescida dos seguintes dispositivos:
Art. 21-A Os provedores 20-A O provedor de aplicação deverão tomar as
providências técnicas, deverá indisponibilizar,
no âmbito e nos limites técnicos dos seus serviços, no prazo de suas aplicações, para assegurar
que 48 horas após o recebimento de notificação pelo interessado ou
representante legal, conteúdo infringente, infringente idêntico ao objeto de
ordem judicial anterior, hipótese na qual não poderá ser
responsabilizado pelas consequências da eventual falta de
correspondência entre os conteúdos.
§1º. A remoção de conteúdo prevista no caput dependerá
de notificação que deverá conter, sob pena de nulidade,
elementos que permitam a identificação específica do material
apontado como infringente, a conferência da validade da ordem
judicial ou da notificação
de que trata esta Seção, continue indisponível em caso de cópia,
dispensada a necessidade de nova ordem judicial ou notificação para questão e a verificação da legitimidade
retirada desses novos materiais. Parágrafo único. para os efeitos deste artigo, é
considerada cópia o conteúdo idêntico ao original ou
apresentação do pedido.
§2º: Sempre que contenha
parte majoritária tiver informações de contato do usuário
diretamente responsável pelo conteúdo original a que se refere este
artigo, caberá ao provedor de aplicações de internet comunicarlhe os motivos e informações relativos à sua indisponibilização,
possibilitando que continue a configurar ingresse em juízo para assegurar o seu direito
à liberdade de expressão e a responsabilização por abuso de
direito ou pelo dano causado por retirada decorrente de
notificação indevida.
característica considerada como infringente;
.............................................................................................
Art. 22
.............................................................................................
§ 2o No caso em que as operações de que trata o artigo
11 sejam realizadas no exterior, desde que o serviço seja ofertado ao
público brasileiro ou pelo menos uma integrante do mesmo grupo
econômico possua estabelecimento no Brasil, responde solidariamente
pelo fornecimento sua filial, sucursal, escritório ou estabelecimento
situado no País.
Art. 3º Esta lei entra em vigor na data da sua publicação.
JUSTIFICAÇÃO
Nossa Carta Magna garante, no seu artigo 5 o, 5o, a todos os
brasileiros e residentes, a livre manifestação do pensamento, a livre
comunicação, o sigilo nas comunicações, o acesso à informação e a
inviolabilidade da intimidade, da vida privada, da honra e da imagem das
pessoas. Passados mais de vinte e cinco anos da promulgação da Constituição
Federal, o Marco Civil da Internet (MCI), aprovado pela Lei n o 12.965/14,
transportou para o mundo virtual todas essas garantias constitucionais
basilares que definem, em sua essência, os ideais democráticos brasileiros.
Em que pese a necessidade e o acerto das disposições
contidas no MCI, os depoimentos de diversas autoridades de investigação, que
compareceram em reiteradas Audiências Públicas realizadas pela CPI dos
Crimes Cibernéticos, atentaram para duas questões que merecem reparos.
O primeiro ponto diz respeito à dificuldade em se manter
fora da rede mundial de computadores conteúdos considerados como
infringentes por ordens judiciais. Essa questão é extremamente importante,
pois, no mundo da internet, conteúdos difamatórios, ofensas e outros tipos de
ataques pessoais, especialmente pelas redes sociais, são extremamente
deletérios. A amplificação do dano advém da característica das mídias digitais
que permitem a replicação e a continuidade das postagens de forma impessoal
e com pouco ou nenhum esforço. Some-se às facilidades tecnológicas a
possibilidade de viralização dos conteúdos e a honra de uma pessoa pode ser
destruída em poucos dias. Mais do que a honra, os ataques podem resultar,
nos casos mais extremos, em linchamentos e até mortes. Em suma, a
replicação continuada de conteúdos pode custar vidas e resultar em prejuízos
incalculáveis.
Outra consequência a ser ressaltada desta replicação
continuada é que, no mundo digital, deve-se considerar a impossibilidade
prática do direito ao esquecimento. Bastam alguns cliques para que postagens
sejam revividas e o pesadelo das vítimas seja reiniciado.
Por esses motivos, é imperativo que sejam envidados
esforços substanciais para que conteúdos tidos como infringentes pela justiça,
permaneçam fora do ar. O novo parágrafo ao artigo 21-A 19 que propomos ao MCI
determina aos provedores de aplicação tomar as providências técnicas
necessárias para que conteúdos infringentes continuem indisponíveis em caso
de cópia, dispensada a necessidade de nova ordem judicial ou notificação para a retirada
desses novos materiais.
Entendemos que pela prática atual, em que os
provedores de conteúdos exigem nova decisão judicial para a remoção de
réplicas do mesmo conteúdo originalmente bloqueado, as vítimas são
penalizadas de sobremaneira. As principais aplicações dispõem de todas as
condições técnicas e os recursos financeiros necessários para bloquear essas
replicações. As vítimas, em contrapartida, precisam acionar de maneira
contínua a justiça, depreendendo tempo e recursos, muitas vezes escassos. O
país possui desigualdades sociais que não podem ser desconsideradas, o
acesso à justiça não se dá de maneira equânime por parte de todos os
segmentos da sociedade. Esta é uma forma de facilitar a proteção desses
segmentos.
No estudo da matéria pela CPI dos Crimes Cibernéticos
foram sugeridas diversas propostas para regulamentar o assunto. Após
profícuo debate com Parlamentares, instituições e membros da sociedade
organizada, entendemos que o CGI.br apresentou contribuição que mais se
aproxima do entendimento por parte dos membros desta Comissão sendo
acatada em sua quase totalidade nesta proposta. A sugestão determina que
conteúdos idênticos devem ser retirados após notificação por parte do usuário.
No entanto, a sólida instituição técnica indica que essa retirada também deva
se dar em casos de conteúdos “que contenham parte majoritária e que
reproduza a infração decorrente do conteúdo removido por ordem judicial”. As
discussões no colegiado salientaram o fato de que a introdução de elementos
de subjetividade poderia levar ao uso extremado de retiradas como medida de
precaução por parte dos provedores de aplicação e seria, consequentemente,
danoso para o desenvolvimento saudável da internet. Portanto, não
consideramos a melhor solução essa extensão. Por outro lado, o CGI.br não
estabelece prazos para a retirada, o que entendemos ser deletério para a
manutenção da proteção dos usuários. Neste particular determinamos que a
retirada deva se dar em 48 horas após a notificação.
Salientamos que variantes desta abordagem, similar ao
que se convencionou chamar NOTICE AND STAY DOWN, é objeto de estudos
e de decisões judiciais em diversos países, tais como Estados Unidos e
Alemanha. Sendo que a principal argumentação que justifica sua
implementação é que os grandes provedores de aplicação, deveriam fazer
mais para a proteção dos cidadãos e dos pequenos criadores.
O segundo ponto tratado pelo projeto, correlato ao
anterior, diz respeito ao atendimento das notificações pelas empresas
estrangeiras. Também de acordo com autoridades policiais ouvidas pela CPI,
algumas empresas da internet impõem obstáculos ao cumprimento de decisões
judiciais, alegando que os conteúdos são armazenados no exterior e que não
possuem condições técnicas para proceder às remoções. Nosso projeto deixa
claro que, caso a empresa seja integrante do mesmo grupo comercial ou que
aquela possua representação no país, a obrigação e as penalidades pelo não
atendimento de eventuais decisões recairá sobre a personalidade jurídica que
a representa no País.
Estamos certos de que com estas alterações ao Marco
Civil da Internet, as dificuldades pelas quais estão passando as autoridades de
investigação, o Poder Judiciário e, principalmente, as vítimas de crimes contra
a honra serão mitigadas.
Pelos motivos elencados, os membros da CPI dos Crimes
Cibernéticos solicitam a aprovação do presente Projeto de Lei.
Sala das Sessões, em de de 2016.
1.6 – PROJETO DE LEI PERMITINDO QUE A AUTORIDADE DE
INVESTIGAÇÃO REQUISITE, INDEPENDENTEMENTE DE AUTORIZAÇÃO
JUDICIAL, ENDEREÇO IP QUE IDENTIFIQUE CONTEÚDO OU SERVIÇO
ESPECÍFICO, OBJETO DE INVESTIGAÇÃO CRIMINAL, MANTIDOS POR
PROVEDOR DE CONEXÃO OU DE APLICAÇÃO DE INTERNET.
(Decorrente da Constatação item 2.3.2)
1.7 – PROJETO DE LEI QUE POSSIBILITA O BLOQUEIO DE APLICAÇÕES
DE INTERNET POR ORDEM JUDICIAL. JUDICIAL, NOS CASOS EM QUE ESPECIFICA.
(Decorrente da Constatação item 2.1.4 e 2.2.3)
PROJETO DE LEI Nº , DE 2016
(Da Comissão Parlamentar de Inquérito destinada a investigar a prática de
crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Possibilita o bloqueio de a conteúdos ou
aplicações de internet por ordem judicial. judicial,
nos casos em que especifica.
O Congresso Nacional decreta:
Art. 1º Esta lei altera a Lei nº 12.965, de 23 de abril de
2014 – Marco Civil da Internet, para possibilitar o bloqueio de conteúdos ou
aplicações de internet por ordem judicial. judicial, nos casos em que especifica.
Art. 2º O art. 9º da A Lei nº 12.965, de 23 de abril de 2014, passa a
vigorar acrescido do com a seguinte § 4º: redação:
Art. 9o .............................................
§ 4º Esgotadas as alternativas de punição previstas
na legislação aplicável sem que se faça cessar conduta
considerada criminosa no curso de processo judicial, o
juiz poderá obrigar que os provedores de conexão
bloqueiem o acesso ao conteúdo
1o ..................................................
.....................................................
III – atendimento a ordem judicial.
.....................................................
Seção V Do Bloqueio a Conteúdos ou a Aplicações de Internet
relacionados àquela conduta, consideradas em Atendimento
a Ordem Judicial
Art. 23-A Juiz poderá obrigar que provedor de
conexão bloqueie o acesso a conteúdo cuja oferta seja
punível com pena mínima igual ou superior a dois anos de
reclusão, caso a aplicação de internet que lhe dá suporte
não possua representação no Brasil.
§ 1o Existindo indícios suficientes de que a
aplicação de internet dedica-se precipuamente à
veiculação de conteúdos de que trata o caput, poderá ser
determinado ao provedor de conexão o bloqueio do
acesso à aplicação.
§ 2o Para o bloqueio de que trata o § 1o deverão
ser considerados o interesse público, a proporcionalidade,
o alcance da medida, a gravidade do
crime medida e a celeridade necessária para
promover a efetiva cessação da referida conduta.” (NR)
Art. conduta criminosa.
§ 3o Considera-se representada no Brasil a
aplicação de internet que possua responsável legalmente
constituído no País ou que pelo menos um integrante do
mesmo grupo econômico possua filial, sucursal, escritório
ou estabelecimento no País.
§ 4o Equipara-se oferta de conteúdos a conter,
oferecer, trocar, disponibilizar, transmitir, distribuir,
publicar, divulgar ou disseminar conteúdos.
Art. 4º Esta lei entra em vigor na data de sua publicação.
JUSTIFICAÇÃO
A internet, como se sabe, desde o seu surgimento trouxe
enormes benefícios à sociedade, em termos de conhecimento, relações
sociais, dentre outros. Mas, infelizmente, da mesma forma que a internet pode
ser utilizada – e de fato o é – para a realização de coisas boas, ela também
vem sendo palco para a realização de diversos crimes, conforme amplamente
demonstrado na CPI dos Crimes Cibernéticos.
Inclusive, não é novidade a existência se sites voltados
quase que exclusivamente à disponibilização e distribuição de conteúdos
ilícitos.
Dessa forma, mostra-se importante inserir no Marco Civil
da Internet uma exceção à regra geral de neutralidade de rede que ratifique ao
poder judiciário brasileiro a possibilidade de o judiciário brasileiro determinar aos provedores
de conexão medidas técnicas de bloqueio de tráfego. tráfego, quando esses conteúdos
estejam fora do alcance de medidas judiciais céleres de proteção das pessoas.
Isso se faz necessário porque, se, por um lado, porque a indisponibilização de
serviços ilegais prestados a partir de provedores de hospedagem localizados
em território brasileiro pode ser bastante simples, uma vez que basta ao juiz
determinar ao provedor de hospedagem brasileiro a retirada de conteúdos que
violam direitos de qualquer gênero, gênero. Ademais, a ação pode se dar no emprego
direto da força policial para desbaratar operações ilegais. O mesmo não se
verifica para serviços ilegais hospedados para fora da jurisdição do Estado
Brasileiro.
Como exemplo, um website que disponibiliza ilegalmente
materiais protegidos por direitos autorais ou fotos de pornografia infantil e que
se encontre hospedado em um servidor no exterior, não cumprirá ordem do
poder judiciário brasileiro, salvo por meio de carta rogatória, o que
evidentemente não representa uma solução adequada do ponto de vista do
tempo necessário à sua implementação. Em casos como o mencionado, a
solução possível é se determinar aos provedores brasileiros de conexão, que
obedecem à jurisdição brasileira, que neguem tráfego ao destino que tenha
sido considerado ilegal no curso do processo judicial.
Desta forma, ainda que o hospedeiro estrangeiro não
possa ser obrigado a apagar o conteúdo ilegal de seus servidores, o acesso a
esses será prejudicado pela medida técnica implementada por provedores
brasileiros de conexão.
É com esse intuito que apresentamos o presente projeto
de lei.
O Projeto determina a possibilidade de bloqueio ao acesso a conteúdos
criminosos e considera que o bloqueio à aplicações deva se dar apenas
como último recurso recurso, em ambos os casos, apenas para sítios
localizados no exterior e quando outras medidas judiciais cabíveis já
tiverem sido cumpridas. Ademais, que não possuam representação no
País. A proposta prevê que sejam consideradas considerados o interesse
público, a proporcionalidade, o alcance da medida, a gravidade da
atividade ilícita que se quer coibir medida e a celeridade necessária
de acordo com cada caso. Ademais, propomos um corte nos tipos de
sítios passíveis de bloqueio.
Determinamos que apenas aqueles cuja oferta constitua crimes puníveis
com pena mínima de dois anos de reclusão possam ser bloqueados. Dessa
maneira, sítios que veiculam conteúdos protegidos por direito autoral
(cuja pena mínima é de 2 anos), crimes ligados a pedofilia (3 anos),
medicamentos proibidos (10 anos) e terrorismo (12 anos), os quais
foram objeto de grande preocupação durante os trabalhos desta CPI,
poderiam ser bloqueados. Em contrapartida, ofensas menores como
crimes contra a honra não estariam ao alcance dessa medida extrema: o
bloqueio ao acesso à aplicação. Estamos certos de que com a
redação proposta as autoridades judiciais terão um instrumento legal
que lhes permitirá agir com proporcionalidade e progressividade.
Aponte-se que a proteção ora pretendida já encontra previsão em outras
democracias ocidentais, a exemplo de países da União Europeia, Estados
Unidos e Chile. A lei chilena, por exemplo, que trata a neutralidade
da rede de forma extremamente ampla, veda o bloqueio e garante o
acesso apenas a serviços ou a aplicações legais (Ley 20.453, art.
24H). A Regulação 2120, de 2015, do Conselho e do Parlamento da
Europa, em seu art. 3o, garante aos usuários o acesso a conteúdos e
serviços, desde que estes sejam legais, permitindo o seu bloqueio para
o cumprimento de leis ou ordens judiciais. Da mesma forma, nos Estados
Unidos a lei não isenta os provedores de tomarem medidas necessárias
para coibir atividades ilegais. A Constituição daquele País e em
particular a Primeira Emenda garantem a liberdade de expressão como um
pilar basilar dos direitos do cidadão, o que abrange, segundo o
entendimento da Suprema Corte daquele país, até mesmo o direito ao
anonimato (o que não encontra respaldo na Constituição brasileira). No
intuito de assegurar essa elástica garantia constitucional, o órgão
regulador das telecomunicações daquele país publicou a Resolução de
Proteção e Promoção da Internet Aberta, de 13/04/2015, assegurando ao
usuário o direito a acessar destinos legais na internet e que
provedores não podem bloquear conteúdos legais. Assim, o Código de
Regulações Federais (CFR, Título 47, Capítulo I, Subcapítulo A, Parte
VIII, Seção 8.5), determina que os provedores de internet não podem
bloquear conteúdos legais. No entanto, na Seção 8.9 do Código, é
determinado que não são proibidos esforços razoáveis por provedores de
acesso com o intuito de resolver infrações a direito autoral ou a
outras atividades ilegais. Como não poderia deixar de ser, essa
exceção, focada na manutenção da legalidade, guarda total consonância
com os preceitos constitucionais daquele país.
Ressaltamos que conforme amplamente divulgado por diversas entidades
de proteção aos direitos autorais, tais como Associação Brasileira de
Direito Autoral, Associação Brasileira de Propriedade Intelectual,
Associação Brasileira de Produtores Independentes de Televisão e Fórum
Nacional Contra a Pirataria e a Ilegalidade, esse tipo de bloqueio
existe em países com democracias solidamente estabelecidas, entre elas
Reino Unido, Austrália, Espanha, França, Coreia do Sul, Bélgica,
Dinamarca, Alemanha, Suécia, Holanda e Itália. Por esses
motivos, conclamamos os nobres pares à aprovação da matéria.
Sala das Sessões, em de de 2016.
2 – PROPOSTA DE FISCALIZAÇÃO E CONTROLE
2.1 – PROPÕE QUE A COMISSÃO DE CIÊNCIA E TECNOLOGIA, COMUNICAÇÃO E INFORMÁTICA,
FISCALIZE, COM AUXÍLIO DO TRIBUNAL DE CONTAS DA UNIÃO – TCU, AS AÇÕES DE
ACOMPANHAMENTO E CONTROLE DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES – ANATEL
ACERCA DA CORRETA IMPLEMENTAÇÃO E UTILIZAÇÃO DOS CADASTROS DE USUÁRIOS DE
TELEFONES PRÉ-PAGOS. (Decorrente da Constatação item 2.4.5)
PROPOSTA DE FISCALIZAÇÃO E CONTROLE No , DE 2016
(Da Comissão Parlamentar de Inquérito destinada a investigar a prática de
crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Propõe que a Comissão de Ciência e
Tecnologia, Comunicação e Informática,
fiscalize, com auxílio do Tribunal de Contas
da União – TCU, as ações de
acompanhamento e controle da Agência
Nacional de Telecomunicações – Anatel
acerca da correta implementação e
utilização dos cadastros de usuários de
telefones pré-pagos.
Senhor Presidente:
Com base no art. 100, §1º, combinado com os arts. 60,
inciso II, e 61 do Regimento Interno, proponho a V. Exª que, ouvido o Plenário
desta Comissão, se digne a adotar as medidas necessárias para realizar, com
auxílio do Tribunal de Contas da União – TCU, ato de fiscalização na Anatel –
Agência Nacional de Telecomunicações – com respeito ações de
acompanhamento e controle daquela Agência acerca da correta
implementação e utilização dos cadastros de usuários de telefones pré-pagos,
para elucidar as seguintes questões:
1. Verificar quais foram os procedimentos de fiscalização realizados
pela Agência com o intuito de verificar o total cumprimento do
disposto na Lei no 10.703, de 2003, que “Dispõe sobre o
cadastramento de usuários de telefones celulares pré-pagos e
dá outras providências” e quais os resultados dessas
fiscalizações;
2. Verificar quantas e quais foram as multas aplicadas pela Anatel,
em consonância com a citada lei, destacando os agravantes de
natureza, gravidade e prejuízo previstos no artigo 5º daquele
diploma legal;
3. Verificar a realização da campanha institucional prevista no artigo
6º da Lei nº 10.703, de 2003, bem como a avaliação dos
objetivos alcançados e ações decorrentes desta avaliação;
4. Verificar quantos foram os processos de utilização dos dados
cadastrais dos usuários de telefones pré-pagos, por autoridades
autorizadas, por unidade da federação;
5. Verificar se a fiscalização da Anatel junto às prestadoras de
serviços de telefonia móvel afere a veracidade das informações
prestadas pelos usuários dos serviços pré-pagos, ainda que por
amostragem, e os procedimentos de coleta das informações
definidas na legislação.
6. Examinar se a Anatel possui levantamento do quantitativo de uso
de celulares pré-pagos para o acometimento de crimes,
discriminados por tipos, e o registro de linhas desativadas ou
denunciadas devido ao seu uso para a prática de delitos.
7. Estudar a viabilidade de inclusão no termos do regulamento do
Serviço Móvel Pessoal a aplicação de multa às operadoras, nos
casos de fraudes contra clientes do Sistema Financeiro Nacional
em que houver falha na correta identificação do proprietário da
linha ou uso de dados falsos ou inverídicos.
JUSTIFICAÇÃO
[... nenhuma mudança ...]
3 – INDICAÇÕES
3.1 – INDICAÇÃO AO PODER EXECUTIVO, SUGERINDO A ADOÇÃO DE
MEDIDAS PARA MELHORAR A SEGURANÇA DA INFRAESTRUTURA DE
TECNOLOGIA DA INFORMAÇÃO DA ADMINISTRAÇÃO PÚBLICA E
OUTRAS PROVIDÊNCIAS.
(Decorrente da Constatação item 2.4.7)
REQUERIMENTO No , DE 2016
(Da Comissão Parlamentar de Inquérito destinada a investigar a prática de
crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Requer o envio de Indicação ao Poder Executivo, sugerindo a adoção de medidas
para melhorar a segurança da infraestrutura de tecnologia da informação da
Administração Pública e outras providências.
Senhor Presidente:
Nos termos do art. 113, inciso I e § 1 o, 1o, do Regimento Interno da Câmara
dos Deputados, requeiro a V. Exª. seja encaminhada ao Poder Executivo a
Indicação em anexo, sugerindo a adoção de medidas para melhorar a segurança da
infraestrutura de tecnologia da informação da Administração Pública e outras
providências.
Sala das Sessões, em de de 2016.
INDICAÇÃO No , DE 2016
(Da Comissão Parlamentar de Inquérito destinada a investigar a prática de
crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Sugere a adoção de medidas para
melhorar a segurança da infraestrutura de
tecnologia da informação da Administração
Pública e outras providências.
Excelentíssimo Senhor Ministro-Chefe da Secretaria de
Governo da Presidência da República: Presidente:
A Comissão Parlamentar de Inquérito dos Crimes
Cibernéticos foi criada em 17/07/15, para investigar a prática de crimes
cibernéticos e seus efeitos deletérios perante a economia e a sociedade neste
país, tendo em vista (i) que a Polícia Federal realizou em 2014 a operação
batizada de IB2K para desarticular uma quadrilha suspeita de desviar pela
Internet mais de R$ 2 milhões de correntistas de vários bancos, quadrilha esta
que usava parte do dinheiro desviado para comprar armas e drogas; (ii) o
último relatório da Central Nacional de Denúncias de Crimes Cibernéticos que
aponta um crescimento, entre 2013 e 2014, de 192,93% nas denúncias
envolvendo páginas na Internet suspeitas de tráfico de pessoas, e (iii) os
gastos de US$ 15,3 bilhões com crimes cibernéticos no Brasil em 2010.
Os trabalhos da CPI foram divididos em quatro SubRelatorias, uma delas a de
Segurança Cibernética no Brasil, a cargo do SubRelator Deputado Rodrigo
Martins. Em sua análise, essa Sub-Relatoria considerou que os esforços
empreendidos pelo extinto Gabinete de Segurança
Institucional no ano de 2015 foram extremamente profícuos e contribuíram
sobremaneira para a elevação da segurança cibernética da infraestrutura de
tecnologia da informação (TI) do País. Ademais, a Sub-Relatoria analisou as
recomendações contidas nos Acórdãos 3.051 e 3.117, ambos de 2014, do
Tribunal de Contas da União, em que o referido órgão manifesta sua
preocupação por falhas no planejamento, análise de risco e gestão da
segurança da informação, dentre outros problemas elencados.
Além da análise desses documentos oficiais, esta CPI
ouviu em diversas Audiências Públicas, para tratar sobre o tema da segurança
na internet, a posição de especialistas, autoridades do Poder Executivo e do
Poder Judiciário, assim como de membros do Ministério Público Federal e
Estaduais. Todos foram unânimes em ressaltar que a gestão da segurança dos
recursos de TI precisa melhorar e precisa de ações mais incisivas de governo.
Por esses motivos e tendo se debruçado sobre a matéria, este colegiado vem
oferecer a presente Indicação sugerindo a aplicação pela Administração
Pública Federal, e pelos fundos especiais, autarquias, fundações públicas,
empresas públicas, sociedades de economia mista e demais entidades
controladas direta ou indiretamente pela União, das seguintes medidas:
i) adote
Elaboração de guia de boas práticas em segurança da Informação, incluindo avaliação informação;
ii) implemente processo de gestão
mitigação do risco e de seus efeitos e avaliando riscos de segurança da
informação;
iii) avalie a possibilidade de da adoção de tecnologias, padrões e
formatos abertos e livres, a ser adotado livres no estabelecimento de
maneira
peremptória
pelos
órgãos controles de segurança da informação;
iv) realize auditoria em sua infraestrutura
Administração pública Federal; ii) Realização de TI;
v) celebre instrumentos de cooperação técnica entre
autoridades públicas de segurança cibernética e
entidades privadas;
vi) direcione esforços para a consecução dos objetivos
propostos na Estratégia de Segurança da Informação
e Comunicações e de Segurança Cibernética da APF,
em especial instituir modelo de governança sistêmica
de SIC e de SegCiber.
vii) Elabore proposta de “Política Nacional de Segurança da
Informação e Comunicações e de Segurança
Cibernética”, conforme previsto na Estratégia de
Segurança da Informação e Comunicações e de
Segurança Cibernética da Secretaria Executiva do
Conselho de Defesa Nacional e que contemple,
dentre outras ações, a segurança das comunicações
de dados no país, a segurança dos sistemas e da
infraestrutura, o monitoramento e a operação contínua
da segurança da infraestrutura, e, estabelecimento de
regras, padrões e procedimentos para processos e
governança das tecnologias de informação e
comunicação;
viii) retome Grupo de Trabalho para o estudo da temática da Segurança da
Informação em Grande Volume de Dados e sua possível regulamentação, no âmbito
do Poder Executivo;
ix) inclua o Centro de Tratamento de Incidentes de Segurança
de Redes de Computadores da Casa Militar nas
articulações com as demais instituições públicas que
tratam de incidentes e crimes cibernéticos;
x) realize auditoria em sua infraestrutura pública de TI,
incluindo equipamentos (hardware), programas
(software) e sistemas desenvolvidos, para fins de
verificação da existência de backdoors e outras
fragilidades em termos de segurança cibernética e de
soberania nacional; iii) Celebração de
xi) celebre instrumentos de cooperação técnica entre
autoridades públicas de segurança cibernética e
entidades privadas, em especial com aquelas ligadas
ao setor financeiro e bancário.
Certos de contar com a compreensão e o engajamento do Senhor Ministro-Chefe
para dar consecução às medidas, esperamos vê-las implementadas, para que todo o
ambiente cibernético brasileiro seja provido de maior segurança, evitando a
prática de crimes.
Sala das Sessões, em de de 2016.
3.2 – INDICAÇÃO AO BANCO CENTRAL, POR INTERMÉDIO DO MINISTÉRIO DA FAZENDA,
SUGERINDO A ADOÇÃO DE MEDIDAS DE COMBATE AOS CRIMES CIBERNÉTICOS. (Decorrente
da Constatação item 2.1.3)
REQUERIMENTO (Da Comissão Parlamentar de Inquérito destinada a investigar a
prática de crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Requer o envio de Indicação ao Banco Central, por intermédio do Ministério da
Fazenda, sugerindo a adoção de medidas de combate aos crimes cibernéticos.
Senhor Presidente:
Nos termos do art. 113, inciso I e § 1 o, 1o, do Regimento
Interno da Câmara dos Deputados, requeiro a V. Exª. seja encaminhada ao
Banco Central do Brasil a Indicação em anexo, sugerindo a adoção de medidas
de combate aos crimes cibernéticos..
Sala das Sessões, em de de 2016.
INDICAÇÃO No
, DE 2016
(Da Comissão Parlamentar de Inquérito destinada a investigar a prática de
crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Sugere a adoção de medidas de
combate aos crimes cibernéticos.
Excelentíssimo Senhor Ministro da Fazenda:
A Comissão Parlamentar de Inquérito dos Crimes
Cibernéticos foi criada em 17/07/15, para investigar a prática de crimes
cibernéticos e seus efeitos deletérios perante a economia e a sociedade neste
país, tendo em vista (i) que a Polícia Federal realizou em 2014 a operação
batizada de IB2K para desarticular uma quadrilha suspeita de desviar pela
Internet mais de R$ 2 milhões de correntistas de vários bancos, quadrilha esta
que usava parte do dinheiro desviado para comprar armas e drogas; (ii) o
último relatório da Central Nacional de Denúncias de Crimes Cibernéticos que
aponta um crescimento, entre 2013 e 2014, de 192,93% nas denúncias
envolvendo páginas na Internet suspeitas de tráfico de pessoas, e (iii) os
gastos de US$ 15,3 bilhões com crimes cibernéticos no Brasil em 2010.
Os trabalhos da CPI foram divididos em quatro SubRelatorias, uma delas a de Instituições Financeiras e Comércio Virtual, a cargo
do Sub-Relator Deputado Sandro Alex. Em sua análise, essa Sub-Relatoria
considerou que o combate aos crimes cibernéticos praticados contra a ordem
financeira e, em especial, contra as instituições bancárias deve ser realizado
com melhor atenção às informações prestadas pelas instituições reguladas e
com maior integração entre as partes envolvidas como a temática.
Por esses motivos, a CPI vem oferecer esta Indicação
para a instituição das seguintes medidas:
i) Promover as medidas necessárias para a promoção de
maior integração da instituição com a Polícia Federal e
Federal, a Febraban e e com órgão responsável
pelo tratamento de incidentes de segurança de
redes de computadores ligado à Presidência da
República para a comunicação de incidentes e o
compartilhamento das informações com o
objetivo de mitigar os crimes digitais;
ii) Propor instrumento regulatório que permita a correta
aferição dos crimes cibernéticos no sistema
financeiro, em separado, sem desconsiderar o
caráter sensível das informações;
iii) Elaboração de um sistema de classificação de risco
das instituições financeiras que permita aos
cidadãos escolher seus prestadores de serviços
financeiros e bancários com base em informações
que avaliem a incidência de crimes cibernéticos
nas instituições, sem desconsiderar o caráter
sensível das informações.
Certos de contar com a compreensão e o comprometimento do Senhor Ministro para
a adoção das medidas. Acreditamos que as conclusões emanadas por esse colegiado
servirão de sobremaneira para a diminuição de crimes cibernéticos contra o
sistema financeiro.
Sala das Sessões, em de de 2016.
3.3 – INDICAÇÃO AO MINISTRO DA JUSTIÇA SUGERINDO A ADOÇÃO DE
MEDIDAS DE COMBATE AOS CRIMES CIBERNÉTICOS.
(Decorrente da Constatação item 2.1.3)
REQUERIMENTO (Da Comissão Parlamentar de Inquérito destinada a investigar a
prática de crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Requer o envio de Indicação ao Ministério da Justiça sugerindo a adoção de medidas de combate aos crimes cibernéticos.
Senhor Presidente: Nos termos do art. 113, inciso I e § 1 o, 1o, do Regimento Interno da Câmara
dos Deputados, requeiro a V. Exª. seja encaminhada Indicação ao Ministério da
Justiça sugerindo a adoção de medidas de combate aos crimes cibernéticos.
Sala das Sessões, em de de 2016.
INDICAÇÃO No
, DE 2016
(Da Comissão Parlamentar de Inquérito destinada a investigar a prática de
crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Sugere ao Ministério da Justiça a adoção de medidas de combate aos crimes
cibernéticos.
Excelentíssimo Senhor Ministro da Justiça:
A Comissão Parlamentar de Inquérito dos Crimes Cibernéticos foi criada em
17/07/15, para investigar a prática de crimes cibernéticos e seus efeitos
deletérios perante a economia e a sociedade neste país, tendo em vista (i) que
a Polícia Federal realizou em 2014 a operação batizada de IB2K para
desarticular uma quadrilha suspeita de desviar pela Internet mais de R$ 2
milhões de correntistas de vários bancos, quadrilha esta que usava parte do
dinheiro desviado para comprar armas e drogas; (ii) o último relatório da
Central Nacional de Denúncias de Crimes Cibernéticos que aponta um crescimento,
entre 2013 e 2014, de 192,93% nas denúncias envolvendo páginas na Internet
suspeitas de tráfico de pessoas, e (iii) os gastos de US$ 15,3 bilhões com
crimes cibernéticos no Brasil em 2010.
Os trabalhos da CPI foram divididos em quatro SubRelatorias, uma delas a de
Instituições Financeiras e Comércio Virtual, a cargo do Sub-Relator Deputado
Sandro Alex. Em sua análise, essa Sub-Relatoria considerou que o combate aos
crimes cibernéticos praticados contra a ordem financeira e, em especial, contra
as instituições bancárias deve ser realizado com melhor atenção às informações
prestadas pelas instituições reguladas e
com maior integração entre as partes envolvidas como a temática.
Por esses motivos, a CPI vem oferecer esta Indicação para a criação de Grupo de
Trabalho no âmbito dessa instituição com o seguinte escopo:
i) Promover as medidas necessárias para a promoção de maior integração da
Polícia Federal com o Banco Central e com órgão responsável pelo tratamento
de incidentes de segurança de redes de computadores ligado à Presidência da
República para a comunicação de incidentes e o compartilhamento das
informações com o objetivo de mitigar os crimes digitais e, em especial,
estabelecer entendimentos para o compartilhamento das informações e a
manutenção de um Banco (de Dados) Nacional de Fraudes Bancárias;
ii) Regulamentar o inciso VI, do art. 1º da Lei no 10.446/02, Lei das Infrações
Federais, obrigando a entrega pelos bancos de notícia crime em casos de crimes
cibernéticos.
iii) Sugere-se o estabelecimento de convênios entre as polícias federal e civis
dos Estados para eventual aplicação de receitas do Fistel, transferidas para o
Tesouro Nacional, no financiamento das estruturas de combate a crimes
cibernéticos
Certos de contar com a compreensão e o
comprometimento do Senhor Ministro para a implementação das medidas
indicadas. Acreditamos que as conclusões emanadas por esse colegiado
servirão de sobremaneira para a diminuição de crimes cibernéticos contra o
sistema financeiro.
Sala das Sessões, em de de 2016.
[... nenhuma mudança ...]
4 – OFÍCIOS OUTROS
[... nenhuma mudança ...]
4.2 – REQUERIMENTO DE INFORMAÇÕES À SECRETARIA
COMUNICAÇÃO SOCIAL DA PRESIDÊNCIA DA REPÚBLICA.
(Decorrente da Constatação item 2.1.1)
DE
REQUERIMENTO DE INFORMAÇÕES No
, DE 2016
(Da Comissão Parlamentar de Inquérito destinada a investigar a prática de
crimes cibernéticos e seus efeitos deletérios perante a economia e a
sociedade neste país)
Solicita ao Sr. Ministro-Chefe da
Secretaria de Comunicação Social da
Presidência da República o envio de
informações relativos aos gastos com
publicidade digital pelo Poder Executivo.
Senhor Presidente:
Requeiro a V. Exa., com base no art. 50, §2º da
Constituição Federal, e nos arts. 115 e 116 do Regimento Interno que, ouvida a
Mesa, sejam solicitadas ao Sr. Ministro-Chefe da Secretaria de Comunicação
Social da Presidência da República o envio de informações relativas aos
gastos com publicidade digital pelo Poder Executivo.
Sala das Sessões, em de de 2016.
JUSTIFICAÇÃO
A Comissão Parlamentar de Inquérito dos Crimes
Cibernéticos foi criada em 17/07/15, para investigar a prática de crimes
cibernéticos e seus efeitos deletérios perante a economia e a sociedade neste
país, tendo em vista (i) que a Polícia Federal realizou em 2014 a operação
batizada de IB2K para desarticular uma quadrilha suspeita de desviar pela
Internet mais de R$ 2 milhões de correntistas de vários bancos, quadrilha esta
que usava parte do dinheiro desviado para comprar armas e drogas; (ii) o
último relatório da Central Nacional de Denúncias de Crimes Cibernéticos que
aponta um crescimento, entre 2013 e 2014, de 192,93% nas denúncias
envolvendo páginas na Internet suspeitas de tráfico de pessoas, e (iii) os
gastos de US$ 15,3 bilhões com crimes cibernéticos no Brasil em 2010.
Os trabalhos da CPI foram divididos em quatro SubRelatorias, uma delas a de Publicidade, Instituições Financeiras e Comércio
Virtual, a cargo do Sub-Relator Deputado Sandro Alex.
De maneira concomitante ao andamento das
investigações conduzidas pelo Sub-Relator afeito à área de publicidade,
Deputado Sandro Alex, a Polícia Federal deflagrou a operação Barba Negra
que resultou no fechamento de sítio de internet que oferecia ilegalmente filmes
e outros conteúdos audiovisuais. A denúncia apresentada nesta CPI pelo
Deputado Sandro Alex, desencadeou, também, mudanças nos procedimentos
de alocação de publicidade governamental na internet. Conforme se evidenciou
na audiência pública realizada, no dia 08/10/2015, com o Ministro Edinho Silva,
da Secretaria de Comunicação Social da Presidência da República,
propagandas de empresas tradicionais e até do governo estavam sendo
veiculadas em sítios utilizados para a prática de crimes cibernéticos, tais como
o streaming ilegal de filmes e de séries de televisão. Na ocasião o Ministro
declarou que encaminharia à Comissão “todo o ranqueamento [isto é,
investimento em publicidade], assim como o ranqueamento das redes sociais
para que a Comissão tenha todas as informações necessárias sobre o que é
investido em publicidade, por meio da SECOM”. Ressaltamos que essas
informações não foram encaminhadas até o encerramento dos trabalhos da
CPI.
Em face ao exposto, solicitamos a aprovação do
Requerimento.
Sala das Sessões, em de de 2016.
5 – RECOMENDAÇÕES E ENCAMINHAMENTOS DA COMISSÃO
Tendo em vista os fatos apurados nesta Comissão
Parlamentar de Inquérito, decide-se pela realização dos seguintes
encaminhamentos e recomendações:
a) Encaminhe-se à mesa da Câmara dos Deputados,
para adotar as providências de alçada desta ou do
Plenário, para implementar matéria legislativa referente
aos projetos de lei apresentados por esta Comissão;
b) Encaminhe-se ofício aos Relatores e aos
Presidentes das Comissões em que tramitam os Projetos
de Lei nº 1776/2015 (de autoria do Deputado Paulo
Freire), 3237/2015 (de autoria do Deputado Vinícius
Carvalho), 5555/2013 (de autoria do Deputado João
Arruda), 3686/2015 (de autoria do Deputado Ronaldo
Carletto), 7544/2014 (de autoria do Deputado Ricardo
Izar), 1755/2015 (de autoria do Deputado Raul
Jungmann), 6726/2010 (de autoria do Deputado Arnaldo
Faria de Sá) e Sá), 2315/15 (de autoria do Dep. Enio Verri),
2801/2015 (de autoria do Dep. JHC) e PLS 730/2015 (de
autoria do Senador Otto Alencar), indicando que esta CPI
reconheceu a importância em se debater as matérias
neles tratadas;
c) Encaminhe-se ao Poder Executivo e ao Poder Judiciário, para análise das
Indicações anexadas; e Requerimento anexados;
d) Encaminhe-se aos Poderes Executivos do Estado e do Município de São Paulo,
assim como ao Ministério Público do Estado de São Paulo, com a recomendação de
que investiguem eventual irregularidade na falta do recolhimento de tributos,
bem como prática, em tese, de crime contra a ordem tributária, nos termos dos
ofícios anexados;
e) Encaminhe-se ao Ministério Público Federal, com a recomendação de que avalie
a pertinência de: I) realizar-se realizarse um Termo de Cooperação com o Poder
Executivo, operadoras de telefonia e principais provedores de acesso à internet
e de aplicações de computador e de internet, no sentido de promover ações
educativas continuadas, nas escolas, para o uso seguro da internet por crianças
e adolescentes;
adolescentes, reforçando e
ampliando o programa de educação já em desenvolvimento a que se refere a
Portaria no 735/15, daquele órgão; II) realizar-se um Termo Cooperação
com o Poder Executivo, operadoras de telefonia, principais provedores de acesso
à internet e de aplicações de computador e de internet, no sentido de promover
ações educativas continuadas para o uso seguro da internet por adultos; III)
realizar-se um Termo de Ajustamento de Conduta com as entidades envolvidas com
a publicidade no meio digital, para evitar a comercialização de espaço para
anúncios publicitários em plataformas digitais que disponibilizem conteúdos
ilícitos, pratiquem condutas ilegais e/ou fomentem a prática de tais condutas
pelos seus usuários;
f) Encaminhe-se à Comissão de Educação da Câmara dos Deputados, com a sugestão
de que crie uma Subcomissão Especial para tratar do tema relativo à inclusão de
noções de educação digital nas escolas;
g) Encaminhe-se à Comissão de Segurança Pública e Combate ao Crime Organizado
da Câmara dos Deputados, com a sugestão de que crie uma Subcomissão Especial
para tratar do tema relativo à segurança nas Olimpíadas de 2016;
h) Encaminhe-se à Comissão de Meio Ambiente e Desenvolvimento Sustentável, com
a sugestão de que crie uma Subcomissão Especial para tratar do tema relativo à
introdução de códigos maliciosos pelas montadoras de veículos para burlar a
legislação ambiental;
i) Encaminhe-se ao Cedes - Centro de Estudos e Debates Estratégicos – Ofício ao
Centro de Estudos e Debates Estratégicos para que desenvolva estudo sobre o
impacto e a necessidade de regulação na questão do bigdata.
Sala da Comissão, em de Deputado ESPERIDIÃO AMIN Relator de 2016