JOÃO VICTOR MAGALHÃES MUNIZ[1]

(coautor)

Prof. Dra. Letícia Lourenço Sangaleto Terron[2]

Prof. Dra. Luciana Renata Rondina Stefanoni[3]

(orientadores)

RESUMO: O presente trabalho tem como finalidade elucidar a prática de phishing, suas motivações, e sua relação com os crimes cibernéticos, baseando-se na análise de tipos legais utilizados anteriormente para disciplinar essa conduta. Ademais, esse artigo traz a importância de sua criminalização, visto que a era digital proporciona evidente interação entre os indivíduos, e deste modo faz-se imprescindível o cumprimento de normas que coíbam essa fraude, pois o Direito Brasileiro carece de adequação de acordo com a evolução da sociedade. Seguindo tal norte, também trará a interface de sua conduta para a Lei Geral de Proteção de Dados, dado que o crime de phishing possui como principal característica a invasão da esfera da vida privada do indivíduo, logo consigna-se que a criminalização da prática de phishing caminha em consonância com a Lei Geral de Proteção de Dados e com os dispositivos do Código Penal brasileiro, de forma que tal lei, busca resguardar a integridade dos dados sensíveis do usuário, ou seja, suas informações pessoais. No mais, destaca-se que a metodologia aplicada foi a hipotético-dedutiva, baseada na análise de artigos relacionados ao tema e pesquisas efetuadas na internet.

Palavras-chave: Phishing. Criminalização. Código Penal brasileiro. Internet.

THE APPERANCE OF THE PRACTICE OF PHISHING IN THE MUNICIPALITY OF SANTA FÉ DO SUL – SP

ABSTRACT: The present work aims to elucidate the practice of phishing, its motivations, and its relationship with cyber crimes, based on the analysis of legal types previously used to discipline this conduct. Moreover, this article brings the importance of its criminalization, since the digital age provides evident interaction between individuals, and thus it is essential to comply with norms that coior this fraud, since Brazilian law lacks adequacy in accordance with the evolution of society. Following such a north, it will also bring the interface of its conduct to the general data protection law, since the crime of phishing has as its main characteristic the invasion of the individual's private life, so that the criminalization of the practice of Phishing is in accordance with the General Data Protection Law and the provisions of the Brazilian Penal Code, so that such law, seeks to safeguard the integrity of the user's sensitive data, ie their personal information. In addition, it is noteworthy that the applied methodology was the hypothetical-deductive, based on the analysis of articles related to the theme and research carried out on the Internet.

Keywords: Phishing. Criminalization. Brazilian Penal Code. Internet.

1 INTRODUÇÃO

Preliminarmente, faz-se mister a compreensão junto a acepção da prática de phishing, que revela um comportamento na qual o indivíduo utiliza-se de e-mails falsos, sites aparentemente idênticos aos originais, com o intuito de adquirir informações pessoais sobre a vítima, induzindo-as a fornecer tais dados voluntariamnte, fazendo com que tenham acesso a contas bancárias, senhas e códigos de segurança. O Comitê Gestor de Internet Brasileiro (CGI.BR) indica que a prática citada compreende-se pela fraude na qual o golpista, mediante meios eletrônicos, pretende obter acesso a dados pessoais e financeiros de um determinado usuário, partindo da utilização combinada de mecanismos técnicos e engenharia social (Cartilha de Segurança para Internet. 2012, p. 25).

Logo, o termo phishing advém do verbo em inglês to fish, ou seja, tais golpes são destinados a “pescar” os dados das vítimas, nas quais mordem a isca clicando nos links fraudulentos utilizados pelos criminosos.

Deste modo, por tratar-se de tema recente, bem como a necessidade de um raciocínio pautado no aprofundamento jurídico e científico, principalmente por não possuir necessariamente enquadramento específico, a criminalização da prática de phishing, no que concerne ao município de Santa Fé do Sul – SP, revela-se como interessante discussão.

A temática faz-se necessária, pois a pandemia da COVID-19 inseriu um considerável número de indivíduos no meio cibernético, devido há vários fatores, como o distanciamento social, os protocolos de quarentena, além de serviços que passaram a ser realizados de forma remota, como é o caso dos sistemas de aula EaD (Educação a Distância).

Pode-se ilustrar tal fato, por intermédio do site Consumidor Moderno (2020), pois em uma de suas matérias afirmou que um a cada oito brasileiros foi vítima de phishing nos primeiros meses da pandemia. Além disso, é válido mencionar que o Brasil está acima da média global de vítimas da prática do golpe, cerca de 30% dos brasileiros não sabem reconhecer uma mensagem de correio eletrônico falsa. Isso nos torna vulneráveis e propensos a cair em “promoções imperdíveis” e outros golpes online. (ASSOLINI, 2020, n.p.).

É indubitável que além dos fatores acima expostos, por não possuir um determinado enquadramento jurídico para a criminalização dessa prática, os operadores utilizam-se de jurisprudências, doutrinas e demais casos que possuam certa semelhança, ou seja, regem a prática de forma genérica.

Sendo assim, com o não enquadramento especifico dentro do ordenamento jurídico, não se obtém nos casos correlacionados a prática uma efetiva e completa punibilidade, o indivíduo praticante deste ato ilícito, por não existir normas específicas quanto ao tema, responderá por outro ato normativo, relacionado ou semelhante, ou seja, a punibilidade são será eficaz, uma vez que, o indivíduo não responderá plenamente pelo delito cometido.

De outro modo, partindo de pressupostos legais, é notória a relevância da aplicação de casos que foram e estão sendo julgados nos Tribunais, utilizando-se como parâmetro a Lei nº 12.737/2012 que dispõe acerca dos crimes cibernéticos. Entretanto, assim como a Lei Geral de Proteção de Dados (LGPD), a prática de phishing necessita de legislação própria para a proteção do usuário em relação aos dados sensíveis.

Outrossim, ainda mencionando a contemporaneidade do tema, acredita-se que uma Lei criada há aproximadamente dez anos, não seria completamente efetiva perante o atual cenário dentro da web.

Portanto, muitos doutrinadores afirmam ainda que a Lei nº 12.737/2012 se mostra extremamente abrangente, incompleta e ultrapassada, deixando de abordar de forma mais pontual pontos controversos, que necessitam de novos apontamentos para melhorar a discussão e análise científica do tema. O que justifica o referido projeto de pesquisa, pois se busca averiguar a real relevância dessa temática para os dias atuais, ou seja, adotar a criminalização e adicionar seu escopo junto ao ordenamento jurídico são ações que vagam em harmonia com a doutrina majoritária evitando, assim que o phishing se torne um problema ainda mais recorrente, pois, com um extremo avanço tecnológico unido com a facilidade em que se consegue capturar informações pessoais dos usuários das redes de internet somado a pouca conscientização e uma falha aplicação de meios punitivos, os caminhos estão livre para que os cibercriminosos disseminem este método criminal.

Perante a sociedade contemporânea e a atual situação de globalização caracterizada no âmbito social, é notório o aumento do advento da internet em locais que antes considerava-se inviável o acesso ao mundo virtual, com isto, o número de usuários que possuem conexão a um determinado banco de dados de rede multiplica-se diariamente.

A problemática imposta na presente narrativa se dá pelo fato de que inúmeros usuários se encontram em situação de risco iminente ante seus dados sensíveis, aproveitando-se da imperícia de diversos internautas, os chamados hackers roubam e se apossam das informações pertencentes à vítima atacada.

Deste modo para compreender a dinâmica e periculosidade da pratica fraudulenta mencionada no corpo desta pesquisa cabe-se mencionar manifestações de autoridades policiais acerca da problemática, assim como cita o delegado de polícia Heron Ferreira, titular da Delegacia Especializada em Repressão à crimes Cibernéticos (DERCC):

Geralmente os criminosos fazem o uso de e-mails falsos, sites aparentemente iguais aos do banco em que as vítimas têm conta, solicitam doações, e até ligações telefônicas. Tudo isso de maneira muito parecida com a original. Eles subtraem nome completo da vítima, documentos de identificação como RG e CPF, além de senhas e códigos de segurança instalados no dispositivo de onde se coletou os dados. (FERREIRA, 2021).

Outrossim, nesta mesma seara, cita-se também o ilustre professor e delegado de polícia de Santa Fé do Sul/SP, Dr. Higor Vinicius Nogueira Jorge, especialista na resolução e abordagem de crimes relacionados ao âmbito cibernéticos, onde explana acerca da dificuldade de compreender a dimensão da prática de phishing uma vez que a mesma não possui tipificação especifica, sendo, quando da confecção de boletins de ocorrência relacionada junto a prática de estelionato, acarretando assim na dificuldade de um combate eficaz. (JORGE, 2022).

Logo, os dados mais visados quando da realização dos ataques são aqueles que quando em posse imprópria podem gerar muitos empecilhos para seus detentores, como por exemplo o acesso a contas bancárias, CPF, números telefônicos de familiares e até mesmo redes sociais, portanto, todo e qualquer usuário ativo na rede de internet pode ser vítima deste golpe, tanto quanto quem caminha pela rua possa a vir a ser assaltado, os golpes são realizados de maneira oculta, assim como anteriormente pautado, os hackers se aproveitam geralmente do baixo grau de perícia e instrução que os navegantes possuem em vista da internet, partindo da criação de sites falsos, anúncios de promoção de produtos com o preço abaixo do normal, clonagem de dados de pessoas próximas, todos esses elementos elencados compõem a situação de phishing, ou seja, com a atual sistemática da sociedade como um todo compreende-se que todos os componentes do núcleo virtual estão em situação de risco perante um bem precioso (os dados sensíveis), ressalta-se que, cabe ao Estado zelar e proteger, o que neste caso se trata de bem, ou seja, possui amparo constitucional.

Por conseguinte, e partindo do pressuposto de que ainda exista baixa conscientização sobre ataques oriundos de dispositivos eletrônicos, juntamente com a má aplicação da Lei Geral de Proteção de Dados (LGPD), torna-se imprescindível a criação de norma específica dentro do ordenamento jurídico brasileiro, além da necessária melhora da fiscalização por parte da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por elaborar as diretrizes que regulamentam o tratamento de dados pessoais, fiscalizar e aplicar penalidades em caso do não cumprimento da lei, no entanto a ANPD ainda não puniu empresas que descumpriram a LGPD, sendo que tal órgão está autorizado a aplicar sanções desde 2021, portanto tal autoridade mostra-se fragilizada em sua fiscalização.

Logo, o presente trabalho procura analisar a ascensão da prática de phishing no âmbito virtual e a imprescindibilidade de uma sanção eficaz, além de regulamentos específicos afim de coibir sua prática, logo busca-se investigar o surgimento de tal prática no município de Santa Fé do Sul – SP, no qual abriga o Centro Universitário de Santa Fé do Sul (UNIFUNEC).

Quanto aos objetivos específicos, ficam propostos os seguintes:

Apresentar a conceituação e abrangência da prática de phishing, suas consequências à vítima, bem como sua crescente aparição no que se refere ao município de Santa Fé do Sul – SP.

Demonstrar a ausência de conscientização frente às fraudes digitais, e quais os mecanismos utilizados para reprimir tais ações, bem como os procedimentos a serem efetuados após a ocorrência da fraude.

Comprovar a urgência da indispensabilidade da legitimação de uma medida eficaz para a penalização da prática - ainda de forma mais significativa no que concerne ao cenário pandêmico da COVID-19, visto que houve um acentuado crescimento de casos provenientes do golpe.

2 METODOLOGIA

A metodologia da pesquisa para o referido trabalho, será a pesquisa descritiva documental, com abordagem quantitativa. Este levantamento será realizado por meio de textos teóricos sobre o tema abordado. Ainda, serão analisadas fontes como: artigos publicados em revistas jurídicas e outros artigos científicos impressos ou eletrônicos que abordam categoricamente o eixo temático.

Quanto à pesquisa de campo, será efetuada junto a Primeira Vara Cível do Fórum de Santa Fé do Sul/SP, sendo esta a análise de Sentença proferida no processo de nº 1001732-64.2019.8.26.0541, na qual por meio de citação, irá exemplificar a prática de phishing, no âmbito judiciário, bem como demonstrar os prejuízos e as adversidades enfrentadas pelas partes lesionadas.

3 RESULTADOS

Insta frisar que com base na pesquisa efetuada, conclui-se que, mesmo em uma cidade interiorana como Santa Fé do Sul/SP, práticas fraudulentas já se fazem presentes, sendo assim, pode-se observar os impactos da prática de phishing.

Deste modo, conforme o objetivo do presente projeto científico, ressalta-se que, por meio da pesquisa e análise efetuada, ou seja, do levantamento processual, cujo o tema fora tratado em sentença do processo nº 1001732-64.2019.8.26.0541, já transitada em julgado perante a Primeira Vara Cível da Comarca de Santa Fé do Sul/SP, é cediço que golpes ocorrem na esfera digital, assim sendo, o autor da ação pleiteou no sistema judiciário, indenização por danos materiais e morais, visto que adquiriu um produto e tal produto nunca chegara ao seu destino, sendo o requerente, lesado pela prática de phishing, como dispõe o ilustre Juiz de Direito, Doutor José Gilberto Alves Braga Júnior, acerca do fato:

Não resta dúvida de que o autor foi vítima de um golpe chamado “phishing”, em um site fraudulento, que se fez passar pela loja virtual [...] golpe que vem sendo praticado com frequência nas redes sociais. (JÚNIOR, 2020).

Logo, com base no resultado obtido durante a elaboração da presente pesquisa, compreende-se que os usuários possuem alto grau de vulnerabilidade dentro do sistema de dados na internet, nota-se ainda a importância da tratativa do tema em pauta quando no âmbito de Santa Fé do Sul.

4 DISCUSSÃO

Com base nos resultados obtidos ao decorrer da pesquisa restou-se cristalino que o phishing é um problema social a ser enfrentado de maneira ampla e objetiva, partindo do Estado a obrigação de fiscalizar e punir a quem comete a infração.

A prática de phishing em sua espécie inicial existe desde o advento da internet, principalmente no âmbito comercial, onde empresas disparam inúmeros e-mail contendo informações sobre promoções e quando os possíveis clientes clicavam nos links e buscavam determinados produtos os algoritmos do site salvavam as informações colhidas e disparavam inúmeros anúncios sobre o que fora inicialmente pesquisado, gerando assim uma situação propensa a venda, porém, ao passar do tempo e também muito ao que se refere a criação da Lei Geral de Proteção de Dados as “estratégias de vendas” deram lugar a pessoas maliciosas visando obter vantagem sob a imperícia do próximo.

Diferentemente de outros modelos de crimes digitais onde dispositivos eletrônicos são invadidos para a obtenção de qualquer vantagem que seja, o criminoso que prática phishing não viola aparelho e menos ainda age com coerção, na realidade, o que ocorre é o induzimento da vítima, partindo do uso de camuflagem os hackers utilizam links de sites com conteúdo aparentemente normal, constante de formulários de respostas onde inconscientemente a vítima fornece de maneira espontânea todos os seus dados, podendo ser documentos pessoais e até mesmo dados bancários.

Entende-se a gravidade do tema pautado quando até mesmo em cidades interioranas a fraude já se faz presente, assim como o exemplo de Santa Fé do Sul, a problemática ganha maior enfoque quando analisado que para registar um boletim de ocorrência relacionado ao tema a vítima possui grande dificuldade pois não existe enquadramento sequer parecido, ainda, nos sites da Secretaria de Segurança Pública o tema sequer aparece como meio de pesquisa quantitativa, deste modo, não é possível compreender a amplitude dos prejuízos que o phishing acarreta, não sendo possível sequer apontar o número de vítimas no país no período de um ano.

Fazendo um comparativo com o artigo Phishing Detection: A Literature Survey publicado junto a revista do Institute os Eletrical and Eletronics Engineers compreende-se a complexibilidade do tema em diferentes sistemas sociais, os autores do artigo referido citam que os infratores se utilizam da imperícia dos usuários das redes de internet para a aplicação dos golpes, citando também a vulnerabilidade dos usuários cadastrados nas redes de conexão que teriam seus computadores facilmente invadidos, quando citados os meios cabíveis de proteção contra a prática de phishing surgem divergências entre as duas pesquisas, uma vez que se trata de diferentes localidades que possuem componentes sociais diferente ocasiona na diferenciação da possibilidade de cessar a existência da prática, por ser  um crime exclusivamente realizado mediante indução da vítima campanhas de conscientização e a orientação social do problema seriam grandes contrapesos para impedir que a prática seja comumente realizada, a tipificação da prática como crime ocasionaria a possibilidade de contabilizar vítimas e punir infratores, sendo plausível ainda a análise das regiões com maior índice do fato para controlar a situação, porém o Estado na figura dos legisladores parece não perceber a crescente da situação, uma vez que o artigo norte americano citado a título de comparação já havia sido escrito no ano de 2013, já no Brasil dez anos após, pouco se é falado sobre, gerando dificuldades de acesso a informações, visto que até doutrinadores especialistas em direito criminal cibernético sofrem com acesso e análise de dados.

Sendo assim, a sentença promulgada pelo juízo de Santa Fé do Sul demonstra e corrobora com o fato de que a população desamparada por meios legais e ágeis para denunciação do golpe sofrido, necessita recorrer ao judiciário para poder assegurar o seu direito sob sua privacidade ou bem violado, deste modo, considerar crime uma prática fraudulenta que traz consigo inúmeros prejuízos a vítima é necessário.

5 CONCLUSÃO

Assim como exposto de maneira cristalina no escopo do presente projeto de pesquisa, os crimes digitais obtiveram maior enfoque nos últimos anos, portanto, conclui-se que, junto ao advento da globalização da internet surgiram conceitos de golpes e crimes que antes não se faziam presentes na sociedade como um todo, a prática de phishing, por exemplo, surge com a finalidade de pescar dados sensíveis de usuários que utilizam uma determinada rede de conexão, por se tratar de crime cibernético, área ainda pouco explorada por legisladores principalmente da esfera penal, a dificuldade para com o combate deste ato ainda é extrema, seja pela dificuldade de realizar o rastreio do usuário que comete a infração ou até mesmo quando do momento da denúncia, pois, por não possuir enquadramento especifico torna-se árduo até mesmo o levantamento de dados, visto que quando denunciado para a delegacia de polícia constará a prática de outra modalidade de crime, sendo impossível compreender o impacto gerado em grande escala no país.

No âmbito da cidade de Santa Fé do Sul, pode-se compreender o quão grave é a situação, uma vez que, em um pequeno município no interior do noroeste paulista ocorreu a prática da fraude, em determinado processo judicial com trâmite na primeira vara cível do município, houve a homologação de sentença na qual reconheceu que há existência de um atentado denominado de phishing, posto isto, é de suma importância a intensificação do combate e a amplitude da penalização destas infrações.

Com base no material analisado para a realização do presente projeto fora compreendido que em grande maioria dos casos a imperícia das vítimas corresponde pelo principal fator para a ocorrência do phishing, portanto, para uma medida de neutralização efetiva, faz-se necessário orientar aqueles que ainda não compreendem ao certo os perigos contidos na internet, sendo assim, campanhas de conscientização são grandes aliadas no combate a desinformação, além do mais, devido ao avanço tecnológico da sociedade contemporânea é rotineira a análise de leis com cunho de combate a crimes cibernéticos ou proteção de dados considerados sensíveis, assim como a mais recente Lei Geral de Proteção de Dados, esta por sua vez utilizada em âmbito civil para a aplicação de multas para quem a descumpre, nesta mesma seara, surge a problemática da criação de legislação específica para o combate da prática de phishing, a falta de tipificação penal faz um desserviço para a população, mascarando assim a real situação fática ocasionada por esta fraude, sejam os prejuízos financeiros e até mesmo violação da vida privada.

Urge salientar, que pelo fato de não possuir enquadramento próprio e até mesmo ser escasso em doutrinas fora necessária a adaptação dos meios para obtenção de dados comprovadores do caráter criminoso do phishing sendo necessário recorrer ao judiciário para a coleta de informações reais e plausíveis para a formulação de fundamentos científicos.

6 REFERÊNCIAS

ALENCAR, Gliner; LIMA, Marcelo de; FIRMO, André. O Efeito da Conscientização de Usuários no Meio Corporativo no Combate à Engenharia Social e Phishing. In: SIMPÓSIO BRASILEIRO DE SISTEMAS DE INFORMAÇÃO (SBSI), 2013, João Pessoa. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2013. p. 254-259.

BARRETO, Ricardo de Macedo Menna; PACHECO, José Ernani de Carvalho. Direito & redes sociais na internet: a proteção do consumidor no comércio eletrônico. 2 ed. Curitiba: Juruá, 2014.

BRASIL. Código Penal: Decreto-Lei nº 2.848, de 7 de dezembro de 1940. 29 ed. São Paulo: Saraiva, 2020.

____. Constituição da república federativa do Brasil: promulgada em 5 de outubro de 1988. 29. ed. São Paulo: Saraiva, 2020.

____. Lei nº 14.155, de 27 de maio de 2021. Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), para tornar mais graves os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet; e o Decreto-Lei nº 3.689, de 3 de outubro de 1941 (Código de Processo Penal), para definir a competência em modalidades de estelionato. 2021. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/lei/L14155.htm>. Acesso em: 13 nov. 2021.

____. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 10 nov. 2021.

CARLOS, Luciano. Canal Ciências Criminais: phishing: a pescaria para furtar seus dados na internet. Porto Alegre, 27 de maio de 2020. Disponível em: <https://canalcienciascriminais.com.br/phishing-a-pescaria-para-furtar-seus-dados-na-internet/>. Acesso em: 07 de maio de 2022.

CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL (CERT.BR): Cartilha de Segurança para Internet, versao 4.0, CERT.br – São Paulo: Comitê Gestor da Internet no Brasil, 2012. Disponível em: <https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf>. Acesso em: 07 de maio de 2022. p 25.

DA REDAÇÃO. Um a cada oito brasileiros foi vítima de phishing nos primeiros meses da pandemia. Consumidor Moderno. 17 agosto 2020. Disponível em: <https://www.consumidormoderno.com.br/2020/08/17/um-a-cada-oito-brasileiros-vitima-de-phishing-durante-a-pandemia/>. Acesso em: 14 nov. 2021.

PENA, Braian Henrique; SILVA, Anderson Santos; SANTOS, Maicon. PHISHING. SEMINÁRIO DE TECNOLOGIA GESTÃO E EDUCAÇÃO, v. 2, n. 2, 21 nov. 2020.

SOUZA, Cristian; LEMOS, Marcilio; SILVA, Felipe; ALVES, Robinson. PhishKiller: Uma Ferramenta para Detecção e Mitigação de Ataques de Phishing Através de Técnicas de Deep Learning. In: WORKSHOP DE TRABALHOS DE INICIAÇÃO CIENTÍFICA E DE GRADUAÇÃO - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 2019, São Paulo. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2019. p. 81-90.