Scam, phishing e pharming: as fraudes praticadas no ambiente Internet Banking e sua recepção no Brasil


Porwilliammoura- Postado em 29 novembro 2012

Scam, phishing e pharming: as fraudes praticadas no ambiente Internet Banking e sua recepção no Brasil

 

Abstract: 
Este artigo trata do scam, phishing e pharming - técnicas utilizadas para promover fraudes on-line, no ambiente Internet Banking. São expostas considerações sobre a recepção deste tipo de fraude pelo Poder Judiciário brasileiro, em diferentes aspectos. Outrossim, são apresentadas propostas para combater os ataques. Por fim, o artigo faz uma crítica quanto a edição de novos diplomas legais como forma de mitigar o avanço dessas fraudes.

Sumário: 1 INTRODUÇÃO. 2 Fraudes no ambiente Internet Banking: scam, phishing e pharming. 2.1 Internet Banking. 2.2 Scam. 2.3 Phishing. 2.4 Pharming. 2.5 Por que scam e phishing funcionam? 3 Os casos de fraude em Internet Banking no Brasil. 3.1 O desenvolvimento das fraudes em Internet Banking no Brasil. 3.2 A classificação dada ao scam, phishing e pharming no Brasil. 3.3 O criminoso e a vítima. 3.4 Questões de ordem Processual Penal. 3.5 Os ataques em Internet Banking são seguidos de estelionato ou furto? 4 medidas para conter as fraudes relacionadas ao Internet Banking. 5 Conclusão. referências.

Resumo: Este artigo trata do scam, phishing e pharming - técnicas utilizadas para promover fraudes on-line, no ambiente Internet Banking. São expostas considerações sobre a recepção deste tipo de fraude pelo Poder Judiciário brasileiro, em diferentes aspectos. Outrossim, são apresentadas propostas para combater os ataques. Por fim, o artigo faz uma crítica quanto a edição de novos diplomas legais como forma de mitigar o avanço dessas fraudes.

Palavras-chave: scam, phishing, pharming, internet banking, fraudes

Abstract: This article is about scam, phishing and pharming - used techniques to promote on-line frauds in Internet Banking environment. It shows considerations about the reception of this kind of fraud in the Brazilian Judiciary, displayed in different aspects. Also, it introduces proposals to control the attacks. Finally, the article criticizes about the edition of new legal statutes to mitigate the advance of these frauds.

Keywords: scam, phishing, pharming, internet banking, frauds

1 Introdução

A crescente utilização da internet proporcionou novos tipos de relação em sociedade. Surge o estado da virtualização, trazendo tecnologias diferentes, que viabilizaram ao usuário da rede desenvolver as mais diversificadas atividades, sem prescindir, para tanto, da presença física. Nesse conjunto de conexões, a paródia de Descartes se tornou quase uma lei: estou on-line, logo, existo.

A popularização da internet convergiu em um aumento da utilização de serviços on-line. Dentre as possibilidades da rede, o Internet Banking se mostra como uma das mais úteis ferramentas. O número de usuários cresce vertiginosamente e, por essa razão, inspira cuidados. No Brasil, verbi gratia, um país de inclusão digital tardia, mais de 80% dos usuários da rede executam funções de banco via internet[1].

Na mesma proporção do crescimento da internet, surge uma delinqüência especializada em promover fraudes. Com grande conhecimento técnico, abrigados pelo anonimato e inseridos em um ambiente com políticas investigativas carentes, esses criminosos, com um particular modus operandi, tornaram-se uma preocupação.

Este artigo versará sobre as técnicas utilizadas para a promoção de fraudes no ambiente Internet Banking, tratará quanto à recepção destas fraudes junto do Poder Judiciário e, por fim fará considerações e sugestões a respeito de medidas de combate a estas ações.

2 Fraudes no ambiente Internet Banking: scam, phishing e pharming

2.1 Internet Banking

O Internet Banking é uma forma de acesso ao serviço das instituições financeiras, em especial os bancos. Por intermédio desse sistema, os usuários podem consultar saldos, pagar contas, realizar transferências, fazer aplicações, verificar cotações entre outros.

Dentre as várias formas de interação entre cliente e instituição, o Internet Banking se mostra como uma das mais ágeis, baratas e cômodas. Para se ter uma idéia, o custo de uma transação bancária efetuada em agência é cerca de 107% mais caro do que a mesma transação via Internet Banking[2]. Daí o investimento das empresas nesse setor em constante ascensão.

São três as técnicas em que se baseiam as fraudes no ambiente Internet Banking: scam, phishing e pharming. Os ataques têm roupagens diversas, porém, as estruturas pertinentes a cada um são semelhantes, as quais serão explicadas nos próximos tópicos.

2.2 Scam

Scam é a mensagem enviada em massa, à moda do spam, com um diferencial: ela contém arquivo anexado ou link de condução a download de arquivo. Esse arquivo, por seu turno, proporciona a instalação de um trojan horse na máquina do usuário.

O termo spam, atribuído às mensagens indesejadas, advém de um episódio de humor promovido pelo grupo britânico Monty Python. Naquela cena, um casal surge em um restaurante que servia todos os pratos acompanhados de um presunto de marca Spam[3]. As propagandas desse produto sempre apelam para a constante repetição do nome da marca Spam, causando certa irritação e fixação por parte do consumidor. Isso foi captado pela ironia do grupo Monty Python[4] e assim, a cena do programa humorístico serviu para associar o envio massivo de mensagens ao nome do alimento Spam.

A palavra scam acompanha a mesma funcionalidade do spam. O "c", no lugar do "p", se relaciona com a fusão de outro termo: seria a junção do verbo scheme com a palavra spam. Scheme é um verbo que significa planejar, tramar, maquinar, sempre no sentido de elaborar algo desonesto: v.g.: They were scheming to steal her jewels. Hoje, scam é tratado como gíria na língua inglesa e tem seu significado ampliado além do campo da fraude via internet, sempre lembrando trapaça, engodo e termos similares.

O scam prioriza iniciar um crime contra o patrimônio (furto), ocasionando uma perda financeira para o correntista num primeiro momento e, num segundo, para o banco. No ambiente Internet Banking a fraude se desenvolve depois de envio de mensagem por intermédio dos diversos canais de informação disponível (e-mail, chats, IRC, ICQ, MSN Messenger, Orkut etc). A mensagem contém arquivo anexado ou link de condução a download de arquivo.

As mensagens que escondem o scam têm características próprias de instituições financeiras, sítios de cartões de mensagem, notificações de órgãos públicos, notícias de destaque, downloads de programas, promoções e eventos, temas pornográficos e mensagens pessoais, sempre com o o intuito de deixar as vítimas curiosas ou instigadas.

O referido arquivo que vem anexado é um trojan horse[5], que dispõe de funções de keylogger [6] ou screenlogger[7]. Os dados são colhidos e armazenados em arquivo de texto, codificados e enviados ao fraudador pelo trojan através de FTP (File Transfer Protocol) e SMTP (Simple Mail Transfer Protocol).

É importante frisar que tais dados são retirados da vítima sem que ela perceba, na maioria das vezes. Assim como o pescador que lança a isca atrelada ao anzol induzindo que o peixe morda e seja fisgado, a vítima vai ao encontro do sítio falso, quando instala em seu micro a "isca" que permitirá ao phisher tomar as informações que deseja.

No Brasil e em outros países do mundo, o scam é a modalidade de ataque mais utilizada em relação ao Internet Banking por sua versatilidade, praticidade e grande possibilidade de disseminação, assim como o spam[8].

2.3 Phishing

O termo phishing, que também pode ser tratado por phishing scam, se confunde com a prática executada no scam. De qualquer forma, são fraudes distintas pela técnica. A origem do termo está definida em artigo do consultor de segurança na internet, Gunter Ollmann:

"The word "phishing" originally comes from the analogy that early Internet criminals used email lures to "phish" for passwords and financial data from a sea of Internet users. The use of "ph" in the terminology is partly lost in the annals of time, but most likely linked to popular hacker naming conventions such as "Phreaks" which traces back to early hackers who were involved in "phreaking" - the hacking of telephone systems."[9]

As primeiras referências do termo se deram em janeiro de 1996, quando crackers[10] que atuavam junto do provedor America Online conseguiam senhas de acesso. Os registros se deram em um boletim informativo do grupo, chamado alt.2600[11].

Os ataques phishing dispõem de variadas possibilidades de condução. Podem-se promover ataques phishing via e-mail, banners falsos, IRC, programas de mensagem instantânea e trojans de infecção de navegador (programados para conduzir o usuário à página falsa quando procurava a verdadeira).

As mensagens com phishing geralmente contêm logos e conteúdo publicitário relacionado a uma instituição financeira ou de comércio eletrônico renomadas. A idéia é direcionar a vítima até um sítio falso onde ela (vítima) enviará, exponte propria, via formulário HTML, as informações que o phisher quiser capturar[12].

Este ataque não compensa muito ao fraudador em razão do trabalho que lhe será exigido para falsificar o sítio. Ele termina dispendendo muito tempo para criar as páginas. O custo é alto frente ao benefício. Por isso, essa modalidade nunca teve grandes números e apresentou queda significativa em virtude da evolução tecnológica dos trojans direcionados ao scam.

2.4 Pharming

Pharming advém de farming, um termo utilizado na indústria farmacêutica e agrícola, que trata da modificação genética de hospedeiros para incrementar a produção de drogas medicinais. Algo muito próximo da produção de transgênicos em laboratório.

O nome do ataque surge da semelhança com a técnica desenvolvida, pois também se modifica o "hospedeiro" que detém informação para o funcionamento da rede. Os referidos "hospedeiros" se chamam Domain Name System servers (Servidores de Nome de Domínio), denominados DNS[13]. O "ph" no início serve, assim como no phishing, para lembrar os phreakers[14].

Atualmente, este tipo de ataque não preocupa tanto como o scam. Depois de grandes prejuízos no setor financeiro em 2002 e 2003, as instituições financeiras, junto dos servidores, investiram em melhor controle dos ataques. Desde 2004 percebeu-se a ausência do pharming no cenário brasileiro. Acredita-se que as ações junto dos DNS praticamente extinguiram esta ameaça[15].

Estivesse o DNS estivesse envenenado, por mais que a vítima digitasse o endereço corretamente, ela seria conduzida a um sítio falso. Todos os endereços enviados em um navegador são convertidos em um número, que é controlado pelo servidor. No ataque pharming, o DNS era atacado e o número de conversão alterado. Assim, por exemplo, ao digitar <nomedobanco.com.br>, que conduziria ao endereço <http://200.200.200.2> no servidor, o cliente seria conduzido ao endereço <http://200.200.100.2>, que conteria um sítio falso.

As vítimas eram facilmente enganadas, pois são pouquíssimos os usuários que atentam para os indicadores de segurança contidos nas arestas e outros pontos dos navegadores[16].

2.5 Por que scam e phishing funcionam?

Como já foi levantado, pode-se desenvolver o scam e o phishing de variadas maneiras. Apesar disso, a forma de utilização mais eficaz acontece pela divulgação por intermédio de e-mail, baseada em relações (falsas) de confiabilidade e segurança.

Na visão do criminalista mexicano Carlos Ramirez Acosta, o desenvolvimento dessas fraudes "está basada en la ingenieria social u usa métodos tradicionales para generar confianza en el usuario final y mediante uma instituición de prestigio, obtener dados críticos y confidenciales"[17].

A engenharia social trata de técnicas que influenciam indivíduos para procurarem determinadas informações. Fraudadores de toda espécie recorrem a esse método para promover seus delitos. A psicologia social apresenta a engenharia social em três aspectos no que tange a persuasão em fraudes[18]: escolha e determinação das alternativas de persuasão; atitudes das vítimas associadas a seu grau de ingenuidade; e, técnicas de persuasão e influência.

Com o fulcro de interpretar o phishing, pesquisadores de Harvard e Berkeley desenvolveram um estudo a respeito do sucesso desta modalidade de ataque. O resultado do trabalho apontou para o despreparo de boa parte dos usuários ao analisar um sítio durante a navegação[19].

A pesquisa procedeu com considerações a respeito do conhecimento quanto ao phishing e sobre o uso das ferramentas de segurança disponíveis. Os participantes foram submetidos a um conjunto de sítios, onde deveriam avaliar, julgar e apontar por qual razão eram ou não sítios falsos. Nenhum dos sítios foi criado pelos pesquisadores. Eles foram recolhidos durante algumas semanas dentro da lista de spam recebida pelos mentores da pesquisa.

Por mais que sejam diferentes os níveis sociais, acadêmicos ou técnicos, ou ainda que haja maior experiência de navegação, ainda não se pode estabelecer um parâmetro atrelado a estes quesitos.

De fato, o único diferencial centrou-se no uso das ferramentas disponíveis junto dos navegadores. Os participantes da pesquisa não atentaram para as informações contidas nas partes periféricas, onde se encontram os avisos dos navegadores. Elas prestaram atenção tão-somente ao que é exibido no centro da tela, daí o aumento do risco mediante a qualidade do trabalho dos phishers.

Dentre os sítios apresentados, um deles enganou mais de 90% dos participantes pelo fato de ter uma animação com um urso, símbolo de um banco norte-americano. A influência gráfica foi tão significativa que alguns pediram a atualização da página para rever tal animação.

No Brasil, o phishing e o scam desenvolveram-se atrelados ao comportamento dos usuários somado à inexperiência e desconhecimento técnico a respeito do assunto.

As vítimas do scam e do phishing foram manipuladas mediante o envio de e-mails supostamente provenientes de órgãos de Estado, instituições de renome e grandes empresas. Alguns casos se deram com o Tribunal Superior Eleitoral, Receita Federal, Serasa, Banco do Brasil, Caixa Econômica Federal, Grupo Abril, Rede Globo, Mercado Livre, Gol Linhas Aéreas, entre outros. Por fim, e-mails com conteúdo sensacionalista, comercial ou pornográfico igualmente bem serviram aos phishers e scammers.

Outro ramo de proliferação do scam, patrocinado pela confiança, garantindo maior eficácia, foi o sítio de relacionamentos Orkut. Com uma estrutura de segurança frágil, o sítio de relacionamento, hospedado nos servidores do Google, era facilmente invadido após o fornecimento espontâneo de login e senha a certos sítios que realizavam o envio de recados em massa (mensagem do peixinho, calhambeque, navio, bom dia etc).

Tempos depois, os administradores desses sítios, utilizando do perfil do usuário, pois detinham login e senha, enviavam recados em massa com links que conduziam a instalação de programas espiões. Compreendendo se tratar de uma manifestação do usuário (amigo), aquele que recebia o recado clicava no suposto link sugerido e era, depois de instalar o arquivo, infectado.

Além de falta de conhecimento dos internautas, a inclusão digital se deu de maneira rápida e desorganizada. Todos querem estar conectados, sem se importar como isso deve ocorrer. Não há uma preparação e o oceano virtual pode trazer alguns perigos aos novos navegantes. Diante do aumento de usuários ingênuos e néscios, que são enganados com facilidade dentro do meio informático, surge  um campo fértil aos scammers e phishers.

3 Os casos de fraude em Internet Banking no Brasil

3.1 O desenvolvimento das fraudes em Internet Banking no Brasil

Em 2001, segundo dados do CERT.br[20], surgiram os primeiros ataques no ambiente de Internet Banking. Eram apelos para os usuários realizarem atualizações em seus sistemas operacionais, de modo que pudessem acessar as páginas da suposta instituição financeira, onde eram clientes, com maior segurança. Sem conhecer dos ataques e despreparados como usuários, os clientes instalavam e executavam o arquivo anexado, que terminava na instalação de um trojan horse ou mesmo à condução de uma página falsa.

Os primeiros ataques com trojan horses valiam-se de keyloggers para capturar os dados inseridos no teclado do usuário. Entretanto, analisar os dados tomava muito tempo do fraudador. O scam evoluiu e somente quando o usuário utilizava o navegador, os dados eram capturados.

Para coibir a ação dos keyloggers, implantaram o uso dos teclados virtuais. Na seqüência, aparecem os screenloggers, que capturavam os movimentos de ponteiro de mouse, tirando a segurança do teclado virtual.

Os dados coletados eram enviados para os fraudadores através de FTP e do serviço de envio de mensagens eletrônicas, por meio do protocolo SMTP. Isso possibilitava que os órgãos de investigação fizessem o rastreamento desses fraudadores utilizando sniffers[21], o que os levou a codificar as informações capturadas pelos trojans.

Em 2004, o pharming foi praticamente extinto em razão das ações dos provedores de acesso em relação aos serviços de DNS. As fraudes que lesaram consideravelmente várias instituições financeiras desde 2002 foram sufocadas em razão da atuação dos servidores ao proteger adequadamente suas bases de dados dos ataques pharmers. Isto levou a um desequilíbrio, que gerou a intensificação de ataques scam e phishing por parte dos fraudadores.[22]

Os scams se tornaram cada vez mais sofisticados e passaram a ter tamanho reduzido, utilizando extensões de imagens (*.JPG, v.g.), que garantiam maior confiabilidade, estimulando o sucesso dos trojanis.

A evolução técnica dos ataques foi acompanhada por mudanças do conteúdo enganador associado. Isto é, inicialmente o fraudador trabalhava com dados pertinentes a instituições financeiras, depois associou os programas a instituições públicas e grandes empresas, passou por sítios de cartões e humor, incluiu e-mails com temas sensacionalistas e, atualmente, termina com mensagens em sítios de relacionamento somado a e-mails que sugerem conteúdos mais pessoais. Os scammers e phishers passam a ser cada vez mais zelosos, sutis e criativos para a disseminação de suas pragas.

Atualmente, o ataque mais utilizado no Brasil é o scam, pelo envio e instalação de trojan horses, em razão de sua facilidade de disseminação e maior sucesso de coleta de dados em relação ao phishing.

3.2 A recepção do scam, phishing e pharming no Brasil

Em fevereiro de 2006, a mídia se mobilizou, de especial forma, para noticiar a atuação da Polícia Federal e Procuradoria da República na Paraíba em relação a criminosos que se valiam da internet para subtrair dados pessoais e acessar as contas bancárias para realizar operações financeiras não autorizadas, utilizando do scam via e-mail. A denominada Operação Scan (sic) terminou com a denúncia de 53 suspeitos, dentre programadores e correntistas de diversas instituições financeiras.

Além dessa quadrilha, que tinha núcleo intelectual na Paraíba e em São Paulo, outros casos foram apresentados nos últimos anos. O trabalho de investigação da Polícia Federal, desde 2000 aponta para o crescimento dos ataques scam e phishing no país. Foram várias as operações em torno de fraudes em sistema bancários: Cash Net, 2001; Cavalo de Tróia I, 2003; Cavalo de Tróia II, 2004; Pégasus e Pégasus II, 2005; Replicante, 2006; Galáticos, 2006; Control+Alt+Del, 2006; Valáquia, 2007.

A quadrilha desmantelada pela Operação Scan enviava e-mails sob a máscara de cartões do sítio Voxcards, notificações da Receita Federal, avisos do Serasa e promoções de empresas de renome. Descuidadas e curiosas, as vítimas, ao clicarem nos links apresentados, para ver do que se tratava, instalavam keyloggers ou screenloggers. Quando havia o acesso aos sítios de instituições financeiras, o trojan denunciava ao fraudador os passos do internauta.

As denúncias oferecidas pelo Ministério Público Federal, relacionadas a esse tipo de fraude em Internet Banking, dividem os participantes do procedimento dos ataques em quatro categorias distintas: programador, usuário, aliciador e "laranja". O programador é responsável pela criação do software, o usuário faz o papel de disseminador do programa e recebedor dos dados, o aliciador recebe as transferências bancárias e encontra "laranjas" que, por seu turno, também recebem transferências e efetuam saques que alimentam o grupo.

O conteúdo apresentado nas denúncias se mostra confuso. Faz lembrar a ação do scam em alguns momentos e, para outras descrições, aponta para o phishing. Isso demonstra que o assunto não foi adequadamente compreendido antes da elaboração das mesmas.

Pode-se acreditar que o caso trata de scam, em razão das perspectivas de fraude junto da rede[23], da existência de programadores na quadrilha e do reconhecimento de programas executáveis dispostos nos links enviados.

A tipificação apresentada pelo Ministério Público Federal (MPF) para a prática do grupo envolve os artigos 155, §4º, II e IV e 288 do Código Penal além dos Art. 10, da Lei nº 9.296/96; Art. 10 da Lei Complementar nº 105/01; e, Art. 1º, VII, c/c §2º, I, da Lei nº 9.613/98.

Infere-se, portanto, que a postura do órgão aponta para a existência dos crimes previstos nos Art. 10, da Lei nº 9.296/96 e Art. 10 da Lei Complementar nº 105/01 no caso da não consumação do crime de furto qualificado. Isto é, consumado o furto, pelo critério da consunção[24], seriam absorvidos os referidos tipos. Alhures, se o furto não se consumasse por vontade alheia do agente[25], haveria incidência, segundo concepção do MPF, da interceptação telemática e da quebra de sigilo bancário.

O envio de mensagens em massa com fulcro de obter dados pessoais, que conduzam ou não a subtração de patrimônio, ainda não é considerado delito. Por não atender ao conceito de ação ou omissão típica, ilícita ou antijurídica e culpável, até o momento, phishing, pharming e scam só aparecem realmente como delito em projetos de lei.

Admitindo a corrente de que a Internet é um serviço de valor adicionado ao meio de comunicação telefone[26] e, com isso, a aplicabilidade da Lei 9.269/96, abrigar a prática do scam com essa tipificação talvez faça algum sentido. Afinal, o criminoso utilizou um programa keylogger ou screenlogger e tal prática conduziu a interceptação de dados.

Por outro lado, existe corrente doutrinária diversa[27], que não admite a incidência da Lei 9.296/96 quando se trata de informática e telemática. Sendo assim, somente seria possível interceptar ligações telefônicas, onde não se enquadrariam os contatos entre cliente e instituição financeira realizados via internet. Destarte, a qualificação da ação com a conduta descrita no artigo 10 da Lei 9.296/96 seria inaplicável.

De qualquer forma, as ações aqui referidas são apenas capítulos de preparação e execução, dentro do iter criminis, que terminam em crimes contra o patrimônio. Em verdade scam, pharming e phishing não podem ser considerados delitos. Nesse sentido, Francisco Muñoz Conde in Teoria Geral do Delito:

"Por imperativo del principio de legalidad, en su vertiente del nullum crimen sine lege, solo los hechos tipificados em la ley penal como delitos pueden ser considerados com tales.

Ningún hecho por antijurídico y culpable que sea, puede llegar a la catagoría de delito si, al mismo tiempo, no es típico, es decir, si no corresponde a la descripción contenida em uma norma penal."[28]

Por essa razão, infelizmente, o legislador brasileiro entende necessário, frente à inflação legislativa, legislar... Existem projetos que tratam do assunto e já tramitam em estágio avançado, como o PLC 89/2003 e os PLS 76/2000 e 137/2000. Nestes projetos, o phishing e scam se misturam e são tratados, genericamente como fraude eletrônica. A pena indicada para o novo "delito" varia de dois a quatro anos mais multa. O pharming ficaria enquadrado no acesso não autorizado e não foi muito bem acondicionado em projeto algum.

3.3 O criminoso e a vítima

O ponto nevrálgico da criminalidade que se desenvolve junto da rede se chama investigação. Existem crimes, os números aumentam dia após dia e, com os números, mais usuários, mais vítimas e mais desconforto frente a esta infecção que se forma. As pessoas e instituições lesadas clamam pelo cadastro de usuários como resposta imediata. Alhures, especialistas defendem com veemência que a internet precisa continuar a ser livre.

Sim, a internet precisa ser livre! O cadastro se mostra mais um remédio fácil, que tranqüiliza por pouco tempo. A idéia de cadastro de usuários é apenas um lobby em relação às empresas de certificação. Aquele que quiser praticar um delito sempre se valerá de outras formas.

No mundo prático e real, não são todos portadores de cristas e sulcos nos dedos? Por sua vez, tudo isso é cadastrado e arquivado em um banco de dados. No entanto, quando ocorre um crime, onde seria possível identificar alguém pelas papilas dérmicas, nem sempre se chama um papilocopista. Em alguns Institutos Médicos Legais, cortam-se os corpos com faca de cozinha e alguém espera que com leis complexas e atraentes, surja, na pobreza do Sistema Judiciário Brasileiro equipes à moda do seriado CSI[29] espalhadas pelo país.

Neste contexto de cegos, os poucos criminosos "tornam-se reis", em alusão ao dito popular. A criminalidade virtual cresce com agentes que fogem ao estereótipo sugerido: passado criminoso, famílias desestruturadas e problemas de política social. Ao contrário, em maioria, são homens, de classe média, jovens estudantes, profissionais liberais, detentores de conhecimento na área informática.

A revista da FAPESP trouxe artigo que fala do trabalho do Núcleo de Pesquisas em Psicologia e Informática (NPPI) da PUC-SP[30]. No artigo, uma das coordenadoras do NPPO, a psicóloga Rosa Maria Farah, diz não existir um perfil específico para o delinqüente virtual. Ela reitera que não é a internet que muda a personalidade do agente. A rede se mostra tão-só como ferramenta de expressão de determinadas vontades incrustadas. A pesquisadora aponta para o perfil traçado ut supra de criminoso virtual.

No mesmo sentido, Emílio C. Viano, in A Criminalidade Informática, assim afirma: "[...] O anonimato e a distância física fazem com que as pessoas on-line se sintam protegidas por sua imunidade não só de serem facilmente detectadas, bem como das conseqüências imediatas de suas ações"[31].

No que diz respeito ao scam e ao phishing, as recentes prisões no Brasil confirmam isso. Os relacionados ao escalão intelectual das quadrilhas não possuem antecedentes, moram em residência própria e têm grau de instrução elevado, se comparados a grande maioria que pratica o delito descrito no Art. 155 do Código Penal. Os menos abastados e com formação intelectual inferior são os que se enquadram nas categorias de "laranjas" e aliciadores, conforme se pode notar no resultado das prisões durante a Operação Scan[32] da Polícia Federal.

O agente que pratica tais ataques se vale da engenharia social para enganar suas vítimas. Conhecendo da inexperiência da maioria dos usuários da rede, o fraudador envia mensagens em massa. Essas mensagens contêm links que conduzem a instalação de trojans horses ou acesso a sítios falsos, os quais, mais tarde, conforme a ação programada, propiciarão a captura de senhas e outros dados pessoais.

A vítima acredita no engodo em razão da ignorância, pois segue a tendência da pesquisa realizada pelo Instituto IPSOS[33], que apresentou: 70,07% dos usuários brasileiros nunca fizeram curso de informática antes de navegar.

A pesquisa sobre phishing, desenvolvida em Harvard, buscou saber como as pessoas valoravam a questão dos sítios fraudulentos na rede. A conclusão apontou que a principal causa de sucesso do phishing se relaciona ao despreparo dos usuários, que não conhecem as ferramentas dos navegadores e se deixam levar tão-só pelo aspecto visual apresentado, que pode ser facilmente copiado e readaptado:

"This study illustrates that even in the best case scenario, when users expect spoofs to be present and are motivated to discover them, many users cannot distinguish a legitimate website from a spoofed website. In our study, the best phishing site was able to fool more than 90% of participants.

Indicators that are designed to signal trustworthiness were not understood (or even noticed) by many participants. 5 out of 22 (23%) participants only used the content of the website to evaluate its authenticity, without looking at any other portions of the browser. A number of participants incorrectly said a padlock icon is more important when it is displayed within the page than if presented by the browser. Other participants were more persuaded by animated graphics, pictures, and design touches such as favicons (icons in the URL bar) than SSL indicators." [34]

A vítima brasileira é mais vulnerável ainda em razão da inclusão digital tardia pela qual o país passa. Apesar de deter, numericamente, um grande número de usuários de internet, este acesso se deu de maneira instantânea demais. Isso proporcionou um campo fértil para a prática do scam e do phishing.

Segundo pesquisa do NIC[35], o perfil da vítima brasileira é o seguinte: moram na região metropolitana de São Paulo, Curitiba e Rio de Janeiro, respectivamente; a maioria apresenta renda familiar superior a R$ 1801,00; as vítimas têm curso superior completo, são do sexo masculino, em maioria; pertencem as classes B e A, respectivamente; e, a idade se concentra entre a faixa de 16 a 34 anos.

A revista digital Computer World[36] destaca reportagem sobre a RSA Conference 2007[37], que aconteceu entre os dias 5 e 9 de fevereiro de 2007, em São Francisco, Estados Unidos. Durante o encontro, Mark Harris[38] asseverou que o volume e a variedade de mensagens com cavalos-de-tróia produzidos no Brasil com objetivo de roubar informações bancárias têm crescido muito e já superam o de qualquer outro país. A reportagem ainda apresenta dados que põem o Brasil em terceiro lugar na produção de vírus, worms e spywares, perdendo para a China e Estados Unidos.

Em pesquisa apresentada em junho de 2006[39], o APWG, Anti-Phishing Work Group, por sua vez, não lista o Brasil como grande vilão do scam ou phishing. Pode-se ao menos suspeitar que determinadas afirmações convirjam para pressionar o país a produzir legislação e mecanismos mais fortes para o combate ao delito virtual. Afinal, o Brasil detém um corpo qualificado de hackers e crackers. Além disso, o scam e o phishing somam mais de 93% de seus ataques relacionados a instituições financeiras, segundo a mesma pesquisa do APWG.

De qualquer forma, o scam e o phishing vêm crescendo, segundo as estatísticas do CERT.br[40]. O resultado para esta equação sugerida: usuários despreparados e crescimento da propagação de malwarez[41]. Isto permite perceber a relevância do tema e chama a atenção para a questão apontada ut supra. Será que os meios de investigação existentes e ação junto dos usuários serão suficientes para conter o crescimento desse novo jeito de praticar velhos delitos?

3.4 Questões de ordem Processual Penal

Uma das questões controvertidas que envolvem scam e phishing trata da competência criminal para processar e julgar esse tipo de delito. De forma quase instantânea, apontar para a Justiça Federal é o caminho, afinal, a divulgação proporcionada pela mídia só faz inferir isso.

É natural que as várias operações da Polícia Federal e seus criativos nomes convirjam para esse pensamento. Melhor estruturada e com maior número de profissionais capacitados (insuficientes em quantidade, mesmo assim), a Polícia Federal atuou com sucesso em diversos casos nos últimos anos.

As Polícias Estaduais brasileiras têm poucas delegacias especializadas e é fato que as investigações e prisões a respeito deste tipo de fraude ainda não são divulgadas de forma expressiva, o que prejudica o estudo relacionado ao avanço e repressão do delito.

Não se trata de desmerecer o trabalho da Justiça Estadual frente à Justiça Federal, todavia, é preciso notar que no âmbito estadual a internet é inferiorizada frente aos crimes que borbulham sangue e violência, ilustrados nos folhetins e canais do jornalismo policial. Em suma, no âmbito da Justiça Estadual, isso ainda "não incomoda" o suficiente.

Problemas políticos e de interesse deixados de lado, a questão da competência para processar e julgar os crimes decorrentes da prática do phishing e do scam está filtrada pelo marco constitucional, no Art. 109 da Constituição Federal. A partir desse ponto é preciso delimitar qual foi o bem jurídico atingido com a conduta em que figuraram scam ou phishing.

O inciso IV do Art. 109 determina a competência para processar e julgar da Justiça Federal para "os crimes políticos e as infrações penais praticadas em detrimento de bens, serviços ou interesse da União ou de suas entidades autárquicas ou empresas públicas". Nessas condições, a Justiça Estadual deveria atuar de forma mais expressiva, frente ao número de vítimas - correntistas de instituições financeiras não federais.

O grande filão do scam e phishing não se concentrou junto de clientes da Caixa Econômica Federal (CEF), saliente-se. Os ataques ocorreram, em maioria numérica, em outros bancos, menos preocupados com a segurança do cliente. Não que a CEF fosse exemplo de segurança - desencorajando os scammers ou phishers - haja vista que ela contava com um sistema precário, em comparação as demais instituições. Percepção esta, cristalina a qualquer correntista que utilizava do sistema da Caixa.

A CEF ainda teme os ataques, por isso, também aderiu à política dos outros bancos, quando estabeleceu limites para transações on-line, com fulcro não de proteger seus clientes, como apresentam, mas sim, de proteger a própria instituição. Recentemente a CEF investiu em segurança e reformulou seu sistema de acesso[42].

Os ataques scam e phishing se dão, como já foi exposto, em um semear desenfreado, onde o autor, a priori, não escolhe vítima determinada. Na divulgação preferida pelo scammer e phisher nacional, utilizando do correio eletrônico, são vítimas correntistas de diversas instituições financeiras em um primeiro momento e, num segundo, as próprias instituições, que usualmente efetuam o ressarcimento das quantias subtraídas pelos scammers e phishers, com o fim de preservar a imagem e manter os clientes vitimados ainda vinculados, num processo de fidelidade.

Dentre as instituições financeiras vitimadas se enquadram, naturalmente, os bancos federais, como a CEF. As várias operações organizadas pela Polícia Federal no intuito de desmantelar as quadrilhas que operaram com o scam e phishing reuniram grande número de vítimas, correntistas de várias instituições financeiras. Sendo vitimados, portanto, entes relacionados a União, aos Estados e à iniciativa privada.

Verificou-se, nestas investigações, a existência de conexão entre o scam ou phishing praticado junto de instituições que carecem da competência estadual e federal para a propositura das referentes ações penais. Assim, torna-se competente para apreciar essas fraudes a Justiça Federal, desde que existente a conexão entre os crimes praticados contra instituições de interesse da União e outras instituições financeiras[43].

A competência pela conexão está regulada no Código de Processo Penal no artigo 76 e seguintes. No caso in tela, ocorre a conexão intersubjetiva[44], onde duas ou mais infrações são praticadas ao mesmo tempo por um grupo de pessoas ou ainda quando a infração se dá pela participação de várias pessoas, em concurso, apesar de diferentes tempo e local.

Existindo conexão entre crimes onde são competentes a Justiça Federal e a Justiça Estadual, reiteradas decisões judiciais pacificaram que prevalecerá a competência de julgamento da primeira em relação à última. Entende o Supremo Tribunal Federal que a competência da Justiça Federal tem sede constitucional e a Justiça Estadual, por seu turno, natureza residual[45].

A questão foi sumulada pelo Superior Tribunal de Justiça: "Compete a Justiça Federal o processo e julgamento unificado dos crimes conexos de competência federal e estadual, não se aplicando a regra do Art. 78, II, "a", do Código de Processo Penal"[46].

No âmbito da Justiça Estadual, são poucas as ações que tratam do scam ou phishing. Em pesquisa jurisprudencial nos Tribunais de Justiça pelos verbetes fraude e internet, como são usualmente tratadas as ações dos scammers e phishers, apenas o Distrito Federal e os Estados de Santa Catarina, Rio de Janeiro, São Paulo e Bahia responderam positivamente à busca.

O pequeno número de casos nas Justiças Estaduais permite questionar a respeito de como é combatido o scam e phishing fora da esfera Federal. Seria a peritagem nacional suficiente frente aos números de que se tem notícia?

Ainda vale acrescentar que segundo dados do CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), de janeiro a dezembro de 2006, os número de ataques scam e phishing registrados - portanto, conhecidos - superou a marca de 40.000[47]. Por fim, mister atentar aqui para a questão da cifra negra da criminalidade, que remete à fábula da lebre e da tartaruga, sem um final conhecido, no entanto, imaginável.

3.5 Os ataques em Internet Banking são seguidos de estelionato ou furto?

Em pesquisa junto dos sítios de Tribunais, observou-se que as fraudes ocorridas no ambiente Internet Banking, por intermédio dos ataques scam, phishing e pharming, ainda não foram completamente digeridas pelo Judiciário. A grande questão está na tipificação do que segue, a partir da fraude: seria estelionato ou furto aquilo que os agentes praticaram valendo-se da internet?

O estelionato, do latim stellionatus; provém de stellios ou Estelião, uma espécie de lagarto que muda de cor conforme requer necessidade[48] e situação. A origem mitológica conta que a deusa Ceres (ou Deméter) transformou um menino que a enganava em um estelião: stellionatus (transformado, nascido lagarto)[49], daí o nome.

O estelionato é uma forma criminal que surgiu, assim como outras fraudes, com o advento do comércio. É situação conhecida desde a origem das grandes civilizações, tendo raízes nos Códigos de Hamurábi, de Manu[50] e também no livro bíblico Deuteronômio[51].

O legislador brasileiro entende por proteger o direito patrimonial mas, não se restringe a capturar o foco total de atenção para esta lesão ao patrimônio. Existe no ordenamento uma perseguição intelectiva - além de perder alguma quantidade de seus bens para o criminoso, há um enganar, um burlar, um lograr, sempre contando com a boa-fé da vítima que acredita cegamente naquilo que lhe é proposto.

O furto é a subtração de coisa móvel alheia com ânimo de tomá-la para si em definitivo. A tutela penal protege a posse, incluindo a detenção e a propriedade. O agente que pratica o furto o consuma "quando o objeto material é retirado da esfera de posse e disponibilidade do sujeito passivo"[52].

No caso das fraudes praticadas em relação ao Internet Banking, a conduta dos agentes tem sido classificada como furto qualificado pela fraude. O exemplo clássico seria do agente que se fantasia de funcionário de empresa de serviços (água, luz, gás, telefone etc.) para entrar no imóvel e promover algum crime contra o patrimônio. Aqui, a adaptação fica por conta da aceitação de link ou programa de computador sugerido, o qual, mais tarde, possibilitará a subtração de bens.

Roberto Chacon de Albuquerque, in A Criminalidade Informática, em opinião contrária, assim assevera: "Com o estelionato informático, não se induz em erro uma pessoa, mas um sistema informático. Induz-se em erro o sistema com fatos falsos, a modificação ou supressão de fatos verdadeiros."[53] Nota-se que o autor trata com exagero a questão da criminalização de condutas, porque aduz ao status de sujeito passivo o sistema informático de uma instituição financeira.

A diferença entre as condutas de furto mediante fraude e estelionato está bem traçada pelas palavras do Prof. Damásio E. de Jesus:

"No furto, a fraude ilude a vigilância do ofendido, que, por isso, não tem conhecimento de que o objeto material está saindo da esfera de seu patrimônio e ingressando na disponibilidade do sujeito ativo. No estelionato, ao contrário, a fraude visa a permitir que a vítima incida em erro. Por isso, voluntariamente, despoja-se de seus bens, tendo consciência de que eles estão saindo da esfera de seu patrimônio e ingressando na esfera de disponibilidade do autor."[54]

Apesar dessa cristalina diferença entre as ações, onde uma se dá sem a participação da vítima quando seus bens são tomados, e na outra, a vítima, exponte propria, entrega a coisa ao agente, alguns processos trataram a fraude em ambiente Internet Banking como estelionato. Parte de uma sentença, proferida em 2004 pela Justiça Federal, relacionada aos primeiros ataques demonstra como foi compreendido o estelionato:

"[...] temos que a caracterização do ilícito de estelionato requer a presença dos seguintes elementos típicos: a) emprego de um meio fraudulento; indução ou manutenção de alguém em erro; c) obtenção de vantagem indevida, para si ou para outrem; e d) prejuízo alheio.

Quanto ao primeiro elemento, qual seja, a fraude empregada com vistas à obtenção da vantagem indevida, na hipótese mostra-se patente, consubstanciada, in casu, na efetiva utilização de programas de computador aptos a fazer transferências ilícitas por meio da rede mundial de computadores (internet).

[...]

Ora, não resta dúvida de que o ente Público foi ludibriado pelo atuar do acusado ÉDERSON. Ao violar o sistema de segurança eletrônica da instituição financeira com a criação de páginas falsas para obter dados dos clientes correntistas, o referido acusado induziu em erro a CEF, efetuando a movimentação financeira.

Com efeito, ao acessar indevidamente a conta corrente lesada, o réu fazia com que a própria CEF acreditasse que o procedimento estaria sendo feito pelo verdadeiro titular da conta."[55]

Com a devida vênia, este pensamento não se coaduna com o fato em questão. Pois, como já foi explicado, o fraudador busca apenas as senhas que levam ao acesso para a transferência de valores. Programas, páginas falsas, redirecionamentos de link: tudo isso conduz apenas e tão-somente à obtenção de senhas. A vítima, em momento algum transfere seu patrimônio, por vontade própria, para o fraudador, como em um estelionato. No caso in tela, o fraudador, por si próprio, colhe a(s) senha(s) e, em seguida, apropria-se do patrimônio da vítima, sem o consentimento desta, configurando, destarte, o furto.

Compreender as instituições financeiras como sujeito passivo de estelionato se mostra algo equivocado. Não se pode falar que a instituição foi induzida em erro ao aceitar a transação. O programa responde a uma chave. Inserida a chave (senha), ele reage com o acesso. Não se vislumbra artifício, ardil ou meio fraudulento que conduzam ao erro nesse procedimento. Se fosse assim, cada vez que alguém utiliza o Internet Banking, estaria se valendo de um meio fraudulento, que seria a senha, para tanto. A presunção de que o titular da conta é quem detém os dados relativos à senha não é absoluta.

Vale salientar que a vítima não é seduzida a informar, por vontade própria, seus dados pessoais. Ela é furtada deles, sem perceber, depois da instalação do trojan horse ou acesso ao link falso. Assim, não há o que se falar em estelionato, seja em relação aos clientes, quanto menos no que diz respeito aos bancos[56].

Decisões judiciais do Superior Tribunal de Justiça - baseadas na legislação consumerista, que pedem a prova de inviolabilidade e segurança do sistema de Internet Banking - consolidaram a condenação dos bancos a ressarcirem seus clientes em caso de fraudes. Daí a relação da instituição financeira no campo de sujeito passivo do delito de furto, pois a instituição é possuidora dos valores depositados.

As recentes decisões, que já aparecem no Superior Tribunal de Justiça, em visão mais adequada, não compreendem mais este tipo de classificação. O delito subseqüente a prática do scam, phishing ou pharming tem sido tratado como furto qualificado pela fraude. Aqui, um exemplo da tipificação acolhida para a situação:

"Igualmente, vislumbra-se a prática do crime de furto qualificado pelo emprego de fraude e do concurso de pessoas, capitulado no art. 155, §4º, II e IV, do Código Penal. O dinheiro que se encontra depositado, apesar de não possibilitar a sua materialização enquanto coisa corpórea, é um bem móvel e que pode ser objeto de apropriação por terceiro, sem que seu titular tenha conhecimento imediato, percebendo a sua ausência quando o mesmo já se encontra fora de sua esfera de disponibilidade, já na posse do autor do fato.

As qualificadoras, igualmente, estão presentes, visto que a fraude é empregada com meio para obtenção dos valores depositados nas contas correntes, na medida em que o cliente fornece os dados insciente de que o está fazendo. A fraude ou embuste é posta em prática pelo programa que gera uma página falsa, semelhante à da Instituição Financeira, onde é solicitado que o cliente digite, de forma manual ou utilizando de um teclado eletrônico, os dados necessários ao acesso da sua conta bancária."[57]

Infere-se, portanto, que não se enquadra a conduta relacionada a subtração de dinheiro de contas bancárias, por intermédio de sistema Internet Banking, com o tipo previsto no artigo 171 do Código Penal. Com isso, percebe-se que o tratamento ideal para a ação praticada seja mesmo o furto qualificado pela fraude.

4. medidas para conter as fraudes relacionadas ao Internet Banking

A primeira utilização do sistema Internet Banking no Brasil aconteceu há mais de dez anos, com o Banco Bradesco[58]. Desde então, as demais instituições financeiras, frente aos custos reduzidos que o sistema apresenta, resolveram intensificar a utilização do sistema e também motivar os clientes a compartilhar desta comodidade.

O crescimento da utilização do Internet Banking acompanhou as tendências de inclusão na rede. Hodiernamente, cerca de metade dos clientes de bancos se vale desse sistema[59]. Somente a CEF, em 2006, contabilizou 4,5 milhões de clientes se utilizando da internet para ações de banco, com fluxo de 28,8 bilhões de reais e 215,3 milhões de transações[60]. Isso demonstra pequena parcela do poder desta modalidade e também o risco que correntistas e instituições correm se não superarem a inteligência dos ataques.

A partir do crescimento de usuários do sistema, torna-se igualmente necessário investir em segurança e capacitação do cliente, fato que não ocorreu em momento apropriado, gerando o desenfreado surgimento de fraudes. Isso não foi exclusividade brasileira, pois ataques com essa característica ocorreram em todo o mundo.

O crime praticado por intermédio do uso da internet não foge à regra da prevenção. Por essa razão, encontrar mecanismos que sejam suficientes para prevenir, controlar e reprimir essa nova produção criminosa se mostra necessário. Saliente-se, contudo, que não se pode depender de medidas jurídicas de forma isolada.

A prevenção carece de medidas extrajurídicas, parajurídicas e jurídicas, combinadas para atuarem contra o crescimento do crime[61]. Segundo Roberto Chacon de Albuquerque in A Criminalidade Informática, essas medidas seriam, exemplificativamente, de cunho técnico, ético-administrativo e jurídico, respectivamente.

Além da política prevencionista, o combate aos fraudadores carece também de apoio material assim como humano e técnico. Estes fatores se evidenciam com clareza na esfera federal e aparecem nos resultados das diversas operações promovidas pela Polícia Federal. De qualquer maneira, os métodos utilizados para o combate às fraudes ainda são suficientes frente a esta nova criminalidade[62].

Outro ponto a se debater diz respeito à criação legislativa. Quando se fala em delito praticado via internet surge, de imediato, o apelo para a produção de novas leis. O professor Túlio Lima Vianna assim se manifesta sobre a questão: "A legislatria nacional faz com que, todas as vezes em que se discuta o problema dos crimes pela Internet, inevitavelmente, a criação de modernas leis surja como panacéia para as questões suscitadas."[63]

Há que se considerar que o posicionamento do especialista não afasta, em absoluto, a possibilidade de criar novos instrumentos legais, em caso de efetiva necessidade. Tratando de Direito Penal, mais que necessário, o tipo legal precisará se orientar no sentido de proteger e encontrar, por intermédio da norma, um bem jurídico realmente relevante ao homem.

Para as questões relacionadas a fraudes em Internet Banking, não se percebe uma valoração que inspire, verdadeiramente, a incidência da norma penal. Distribuir e-mails com trojan horses, criar páginas falsas, infectar o serviço de provedores e outras condutas que não cheguem até o patrimônio não aparentam merecer a interferência da tutela penal. Entretanto, não se pode esquecer que o interesse maior a ser protegido é o patrimônio. Scam, phishing e pharming apenas são um caminho entre fraudador e vítima.

Considerando a evolução dos ataques, praticamente se nota a extinção do pharming e a decadência do phishing. Além disso, contando com o pioneirismo do Brasil em termos de fraude, as preocupações, a priori, ficam restritas ao scam. Essas premissas levam a inferir que criar tipos penais para proteger o envio de mensagens em massa, não autorizadas e contendo algum malware, não é suficientemente pertinente frente a atual concepção do Direito Penal moderno.

Por isso, não se deve esquecer que o bem jurídico relevante e que está em risco frente às fraudes praticadas on-line, sobretudo no ambiente Internet Banking, é o patrimônio. Os projetos de lei que estão em tramitação, pobres em termos técnicos e jurídicos, querem atrair tudo à tutela penal. Isso termina conduzindo o sistema a uma função meramente simbólica e negativa[64].

É evidente que existem outros mecanismos mais eficientes e rápidos que podem controlar a questão da proliferação de ataques via internet. Na maioria das vezes, esses mecanismos estão afastados do Direito Penal, que sempre deve ser tomado como ultima ratio. Nesse sentido, ensina Luiz Régis Prado: "O bem jurídico é defendido penalmente só perante certas formas de agressão ou ataque, consideradas socialmente intoleráveis. Isso explica que apenas as ações mais graves dirigidas contra bens fundamentais podem ser criminalizadas."[65]

5 Conclusão

Nos últimos anos surgiram novas modalidades de fraude praticadas via internet, em especial, no ambiente Internet Banking. A partir de três modalidades básicas de ataque: pharming, phishing e scam, promoveu-se a subtração de valores de vários clientes de instituições financeiras. Números a respeito são inexistentes ou atenuados, pois prejudicariam a imagem e confiança atribuída aos referidos grupos. Porém, estima-se que são cifras de grande valor.

Evidenciou-se a ausência de meios suficientes para a contenção dessas fraudes. Somando-se a isso, são pouquíssimos os especialistas no assunto, recrutados nos órgãos do Poder Judiciário, que conhecem as tecnologias para promover investigações no âmbito da internet. Saliente-se ainda que não se restringe o objeto de trabalho da polícia judiciária a fenômenos relacionados às fraudes eletrônicas, pois a rede também implica outras atividades investigativas.

Quando Cesare Beccaria afirma: "É preferível prevenir os delitos a ter de puni-los; e todo legislador sábio deve antes procurar impedir o mal que repará-lo [...]"[66], suas palavras ecoam pertinentes e atuais. No caso das fraudes via internet, enquanto não se priorizar pela educação e conhecimento mínimo das ferramentas disponíveis, visando à prevenção, junto dos consumidores finais das instituições financeiras, as perspectivas de crescimento dos ataques, especialmente o scam, continuarão muito grandes.

Além desse quadro de prevenção e do apelo à conscientização cultural do internauta, é igualmente necessário que as instituições financeiras invistam em sistemas informáticos de qualidade, que sejam minimamente susceptíveis a falhas.

O legislador quer participar do processo de combate ao crime virtual e, para tanto, se vale da lei penal. Contudo, a edição de leis, sem a qualidade e relevância pertinentes, soa como anódino remédio ao conteúdo criminalidade. Não resolve, não contribui e serve apenas para aliviar os mais inocentes, que acreditam na segurança propiciada por leis severas.

Os ataques scam, phishing e pharming ainda não foram tipificados e não parece alternativa saudável ao Sistema Penal inseri-los como delitos. O bem jurídico em questão é o patrimônio, que já está tutelado pela norma penal. As técnicas apresentadas são, tão-só, modalidades que conduzem à subtração.

Mais uma vez, o legislador apela para a edição de leis penais como panacéia aos novos males. No entanto, penalizar tais condutas não se coaduna com os princípios da exclusiva proteção de bens jurídicos, intervenção mínima e fragmentariedade.

Sendo verdadeira a metáfora do professor Luiz Régis Prado ao dizer que o Direito Penal é um arquipélago de pequenas ilhas no mar do penalmente indiferente[67], não resta alternativa que não seja rejeitar a idéia de tipificação da promoção scam, phishing e pharming. Reitera-se que, dentre estes ataques, o único bem jurídico que merece a tutela penal é, de maneira singular, o patrimônio.

REFERÊNCIAS

ACOSTA, Carlos Ramírez. El "phishing" y "pharming", nuevos delitos informaticos y su impacto negativo en el sistema bancario. El robo de indentidad, un nuevo reto de seguridad. In: XX CELAES - Federatión Latinoamericana de Bancos, 2005. Guatemala. Memorias Congresos FELABAN. Guatemala, 2005.

ALBUQUERQUE, Roberto Chacon de. A criminalidade informática. São Paulo: Juarez de Oliveira, 2006. p. 23.

APWG. Anti-Phishing Work Group. Phishing activity trends report june 2006. Disponível em: <antiphishing.org/reports/apwg_report_june_2006.pdf >. Acesso em: 04 set 2006.

BECCARIA, Cesare. Dos delitos e das penas. São Paulo: Martin Claret, 2001. p. 101. (Coleção a Obra-Prima de Cada Autor).

BITENCOURT, Cezar Roberto; CONDE, Francisco Muñoz. Teoria geral do delito. 2. ed. São Paulo: Saraiva, 2004. p. 121-122.

BRASIL. Superior Tribunal de Justiça. Recurso ordinário em Habeas Corpus nº 19846. Recorrente: Casimiro Júnior Marinho Aguiar. Recorrido: Tribunal Regional Federal da 1ª Região. Relator: Ministro Gilson Dipp. Brasília, 12 de setembro de 2006. Diário da Justiça. 09.10.2006. p. 316.

BRASIL. Supremo Tribunal Federal. Habeas Corpus nº 70.563-4. Paciente: Luiz Roberto Gasque. Impetrante: Maurício Júlio Farah e outro. Coator: Tribunal Regional Federal da 4ª Região. Relator: Ministro Paulo Brossard. Brasília, 22 de outubro de 1993. Diário da Justiça. 22.04.1994, p. 8.943.

BRASIL. Tribunal Regional Federal (1.Região). Apelação criminal nº 2004.39.01.001375-5/PA. Apelante: Éderson Barbosa da Silva. Apelada: Justiça Pública. Relator: Desembargador Federal Carlos Olavo. Brasília, 28 de novembro de 2005.

BRAUN, Daniela. Caixa Econômica Federal reformula Internet Banking e oferece login único. IDG Now!. 1 mar 2007. Disponível em: <http://idgnow.uol.com.br/internet/2007/03/01/idgnoticia.2007-03-01.0494942460/IDGNoticia_view>. Acesso em: 05 mar 2007.

CERT.br. Índices reportados ao CERT.br. Janeiro a Dezembro de 2006. Disponível em: <http://www.cert.br/stats/incidentes/2006-jan-dec/tipos-ataque-acumulado.html>. Acesso em 10 jan 2007.

CHAVES, Marcelo H. C. P. Segurança na internet. Disponível em: <www.conip.com.br/sp/2006/palestras/maracana/28-06/marcelo_chaves.pdf >. Acesso em 4 jan 2007.

CHAVES, Marcelo H. C. P. Segurança na internet. Disponível em: <www.conip.com.br/sp/2006/palestras/maracana/28-06/marcelo_chaves.pdf >. Acesso em 4 jan 2007.

DHAMIJA, Rachna; TYGAR, J.D.; HEARST, Marti. Why phishing Works. In: Conference on Human Factors in Computing Systems, 2006, Montreal. Proceedings... [S.l.: s.n.], 2006.

ESTRADA, Manuel Martin Pinto. A internet banking no Brasil, na América Latina e na Europa. Revista Prismas. Direito, Políticas Públicas e Mundialização. UniCEUB. Brasília. V. 2, n. 1, janeiro-junho 2005. Disponível em: <http://www.mestrado.uniceub.br/revistamestrado/pdf/Artigo%20Manuel%20Martin%20Pino.pdf>. Acesso em 26 set. 2006.

FÁBIO S. Pharming. Disponível em: <http://www.hipermail.com/blog/archives/200504.html#003492>. Acesso em 06 mar 2006.

FONSECA, Carlos Eduardo da. A Sociedade Virtual. Ciab Febraban 2006. Dezembro 2005. Disponível em: <http://www.ciab.org.br/portugues/Revistas/02Dezembro05.pdf>. Acesso em: 15 jun 2006.

FORTUNA, Eduardo. Mercado Financeiro. Produtos e Serviços. 15. ed. Rio de Janeiro: Qualitymark, 2002. p. 148.

GRECCO FILHO, Vicente. Interceptação telefônica. São Paulo: Saraiva, 1996.

HUSCH, Jonathan J.  The "social engineering" of internet fraud. Internet Society. Disponível em: <http://www.isoc.org/isoc/conferences/inet/99/proceedings/3g/3g_2.htm> Acesso em: 10 dez. 2006.

JESUS, Damásio E. de. Direito penal. Parte Especial. 24. ed. rev. e atual. São Paulo: Saraiva, 2001. v.2. p. 328.

JÚNIOR, Gonçalo. O exorcismo da internet. Psicólogos e advogados defendem moderação em críticas à rede e dizem que mídia virtual apenas exterioriza distúrbios do mundo real. Revista Pesquisa FAPESP: Ciência e Tecnologia no Brasil. São Paulo. n.128. outubro 2006. Disponível em: <http://revistapesquisa.fapesp.br/?art=3078&bd=1&pg=1&lg=> Acesso em: 15 out. 2006.

LAU, Marcelo. Análise das fraudes aplicadas sobre o ambiente internet banking. 2006. Dissertação (Mestrado em Engenharia) - Escola Politécnica da Universidade de São Paulo, São Paulo.

LAU, Marcelo; SANCHEZ, Pedro Luiz Próspero. Técnicas utilizadas para efetivação e contenção das fraudes sobre internet banking no brasil e no mundo. Disponível em: <http://www.datasecur.com.br/artigo.pdf>. Acesso em: 30 set 2006.

NIC.br. Pesquisa Tecnologias da Informação e da Comunicação (TIC) Domicílios. IPSOS. Agosto/Setembro de 2005. Disponível em: <http://www.nic.br/indicadores/usuarios/index.htm> Acesso em: 19 abr 2005.

NORONHA, Edgard Magalhães. Direito penal. 32. ed. São Paulo: Saraiva, 2002. v.2. p. 368.

OLIVEIRA, Renato da Silva. Competência criminal da justiça federal. São Paulo: RT, 2002. p.48

OLLMANN, Gunter. The phishing guide: understanding & preventing phishing attacks. Disponível em: <http://www.nextgenss.com/papers/NISR-WP-Phishing.pdf>. Acesso em 04 fev 2006.

PRADO, Luiz Regis. Bem jurídico-penal e constituição. 3. ed. rev. atual. e ampl. São Paulo: Revista dos Tribunais, 2003. p. 67.

______. Curso de direito penal brasileiro: parte geral, arts. 1º a 120. 5. ed. rev. São Paulo: Revista dos Tribunais, 2005. v.1. p. 149.

SANTOS, Daniel dos. Brasil é líder em golpe via e-mail. Computer World. Disponível em: <https://cm.rsaconference.com/US07/catalog/processSearchExhibitorCatalog.do?action=search&showAll=true>. Acesso em 15 fev. 2007.

SILVA, Rita de Cássia Lopes da. Direito penal e sistema informático. São Paulo: Revista dos Tribunais, 2006 (Ciência do direito penal contemporânea; v. 4).

SILVA, Rodolfo Alves. Introdução da denúncia. [mensagem pessoal] Mensagem recebida por <aleneto@brturbo.com.br> em 1 jun. 2006.

SUCESU. Prêmio SUCESU 40 anos. Internet Banking. Disponível em: <http://www.sucesu.org.br/sucesu40anos/index.php?meio=ganhadores.html>. Acesso em: 10 jan 2007.

TORRINHA, Francisco. Dicionário latino-português, 3. ed. Porto: Marânus, 1945. p.818.

______. Dicionário português-latino, 2. ed. Domingos Barreira, [ca.1939] p.533.

VIANNA, Túlio Lima. Dos crimes pela internet. In: REINALDO FILHO, Demócrito (Coord.). Direito da informática: temas polêmicos. Bauru: Edipro, 2002. p. 211.

VIANO, Emílio C. in ALBUQUERQUE, Roberto Chacon de. Prefácio. In: ______. A criminalidade informática. São Paulo: Juarez de Oliveira, 2006. p. XVI.

ZANON, Érica. Cresce uso de internet banking no Brasil. Folha de Londrina. 04 ago 2006. Disponível em: <http://www.bonde.com.br/folha/folhad.php?id=3635LINKCHMdt=20060804>. Acesso em: 05 mar 2007.



[1] FONSECA, Carlos Eduardo da. A Sociedade Virtual. Ciab Febraban 2006. Dezembro 2005. Disponível em: <http://www.ciab.org.br/portugues/Revistas/02Dezembro05.pdf>. Acesso em: 15 jun 2006.

[2] FORTUNA, Eduardo. Mercado Financeiro. Produtos e Serviços. 15. ed. Rio de Janeiro: Qualitymark, 2002. p. 148.

[3] Espécie de presunto de porco homogeneizado e temperado produzido pela Hormel Foods Sales.

[4] O vídeo pode ser visto no YouTube. Um dos links disponíveis sobre o Spam, do grupo Monty Python, é <http://www.youtube.com/watch?v=ODshB09FQ8w>.

[5] Trojan horses, trojans ou cavalos de tróia são programas aparentemente inofensivos que, quando instalados, conforme a ação programada, podem se tornar lesivos frente as atividades desenvolvidas no computador.

[6] Keylogger é um programa que captura e armazena em um arquivo um histórico de todas as teclas que foram pressionadas durante a utilização de determinado equipamento.

[7] Screenlogger é um programa que captura e armazena em um arquivo um histórico das ações realizadas em tela durante a utilização de determinado equipamento, o que permitiria rastrear, v.g. o movimento do ponteiro do mouse em teclados virtuais.

[8] LAU, Marcelo; SANCHEZ, Pedro Luiz Próspero. Técnicas utilizadas para efetivação e contenção das fraudes sobre internet banking no brasil e no mundo. Disponível em: <http://www.datasecur.com.br/artigo.pdf>. Acesso em: 30 set 2006.

[9] OLLMANN, Gunter. The phishing guide: understanding & preventing phishing attacks. Disponível em: <http://www.nextgenss.com/papers/NISR-WP-Phishing.pdf>. Acesso em 04 fev 2006.

[10] É o hacker do mau. Ele utiliza seu conhecimento para acessar e destruir sistemas de informática.

[11] OLLMANN, Gunter. Opus citatum.

[12] LAU, Marcelo. Análise das fraudes aplicadas sobre o ambiente internet banking. 2006. Dissertação (Mestrado em Engenharia) - Escola Politécnica da Universidade de São Paulo, São Paulo.

[13] FÁBIO S. Pharming. Disponível em: <http://www.hipermail.com/blog/archives/200504.html#003492>. Acesso em 06 mar 2006.

[14] Phreackers são fraudadores de sistemas telefônicos.

[15] LAU, Marcelo. Opus citatum.

[16] DHAMIJA, Rachna; TYGAR, J.D.; HEARST, Marti. Why phishing Works. In: Conference on Human Factors in Computing Systems, 2006, Montreal. Proceedings... [S.l.: s.n.], 2006.

[17] ACOSTA, Carlos Ramírez. El "phishing" y "pharming", nuevos delitos informaticos y su impacto negativo en el sistema bancario. El robo de indentidad, un nuevo reto de seguridad. In: XX CELAES - Federatión Latinoamericana de Bancos, 2005. Guatemala. Memorias Congresos FELABAN. Guatemala, 2005.

[18] HUSCH, Jonathan J.  The "social engineering" of internet fraud. Internet Society.

Disponível em: <http://www.isoc.org/isoc/conferences/inet/99/proceedings/3g/3g_2.htm>

Acesso em: 10 dez. 2006.

[19] DHAMIJA, Rachna; TYGAR, J.D.; HEARST, Marti. Opus citatum.

[20] CHAVES, Marcelo H. C. P. Segurança na internet. Disponível em: <www.conip.com.br/sp/2006/palestras/maracana/28-06/marcelo_chaves.pdf >. Acesso em 4 jan 2007.

[21] Um capturador de tráfego de rede que permite a coleta de todo o processo de comunicação, incluindo neste caso a análise de credenciais utilizadas no envio de dados através de FTP e SMTP.

[22] LAU, Marcelo. opus citatum.

[23] Em pesquisa pessoal, foram recebidas/colhidas mais de 160 mensagens entre fevereiro de 2006 e fevereiro de 2007 com conteúdo relacionado a scam.

[24] Por este critério, determinado ato criminoso é fase da realização de outro crime: lex consumens derogat legi comsumptae.

[25] No caso de insuficiência de fundos, inexistência de possibilidade de transação por ausência de segunda senha para movimentação ou outros motivos.

[26] Artigo 60 e seguintes da Lei Geral de Telecomunicações (Lei 9.472/97).

[27] SILVA, Rita de Cássia Lopes da. Direito penal e sistema informático. São Paulo: Revista dos Tribunais, 2006 (Ciência do direito penal contemporânea; v. 4). Ver também GRECCO FILHO, Vicente. Interceptação telefônica. São Paulo: Saraiva, 1996.

[28] BITENCOURT, Cezar Roberto; CONDE, Francisco Muñoz. Teoria geral do delito. 2. ed. São Paulo: Saraiva, 2004. p. 121-122.

[29] Seriado do canal norte-americano CBS: Crime Scene Investigation, onde os investigadores são cientistas que dispõe da mais alta tecnologia em diversas áreas e, quase sempre, encontram os culpados estudando os vestígios deixados na cena do crime.

[30] JÚNIOR, Gonçalo. O exorcismo da internet. Psicólogos e advogados defendem moderação em críticas à rede e dizem que mídia virtual apenas exterioriza distúrbios do mundo real. Revista Pesquisa FAPESP: Ciência e Tecnologia no Brasil. São Paulo. n.128. outubro 2006. Disponível em: <http://revistapesquisa.fapesp.br/?art=3078&bd=1&pg=1&lg=> Acesso em: 15 out. 2006.

[31] VIANO, Emílio C. in ALBUQUERQUE, Roberto Chacon de. Prefácio. In: ______. A criminalidade informática. São Paulo: Juarez de Oliveira, 2006. p. XVI.

[32] PRM DE CAMPINA GRANDE. Operação scan: prm de campina grande e polícia federal realizam investigação conjunta para desarticular grupo envolvido em fraudar contas bancárias. Disponível em: <www.prpb.mpf.gov.br/index.htm>. Acesso em: 03 abr. 2006.

[33] CGI.BR, Comitê Gestor da Internet no Brasil. TIC domicílios 2005. Disponível em: <http://www.nic.br/indicadores/>. Acesso em: 10 out. 2006.

[34] DHAMIJA, Rachna; TYGAR, J.D.; HEARST, Marti. Opus citatum.

[35] NIC.br. Pesquisa Tecnologias da Informação e da Comunicação (TIC) Domicílios. IPSOS. Agosto/Setembro de 2005. Disponível em: <http://www.nic.br/indicadores/usuarios/index.htm> Acesso em: 19 abr 2005.

[36] SANTOS, Daniel dos. Brasil é líder em golpe via e-mail. Computer World. Disponível em: <https://cm.rsaconference.com/US07/catalog/processSearchExhibitorCatalog.do?action=search&showAll=true>. Acesso em 15 fev. 2007.

[37] A RSA Conference é um evento que reúne especialistas em segurança aplicada à Tecnologia da Informação. São promovidos encontros nos Estados Unidos, Japão e países da Europa, contando com os expoentes do setor.

[38] Mark Harris é diretor mundial do SophosLabs, um laboratório de consultoria e segurança na internet, que verifica milhões de sítios e e-mails de grandes empresas.

[39] APWG. Anti-Phishing Work Group. Phishing activity trends report june 2006. Disponível em: <antiphishing.org/reports/apwg_report_june_2006.pdf >. Acesso em: 04 set 2006.

[40] Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

[41] Malwarez é um termo que abrange toda a espécie de praga disseminada via internet, como trojans horses, worms, backdoors, hijacks, spywares, adwares, entre outros.

[42] BRAUN, Daniela. Caixa Econômica Federal reformula Internet Banking e oferece login único. IDG Now!. 1 mar 2007. Disponível em: <http://idgnow.uol.com.br/internet/2007/03/01/idgnoticia.2007-03-01.0494942460/IDGNoticia_view>. Acesso em: 05 mar 2007.

[43]BRASIL. Superior Tribunal de Justiça. Recurso ordinário em Habeas Corpus nº 19846. Recorrente: Casimiro Júnior Marinho Aguiar. Recorrido: Tribunal Regional Federal da 1ª Região. Relator: Ministro Gilson Dipp. Brasília, 12 de setembro de 2006. DJ 09.10.2006. p. 316.

[44] OLIVEIRA, Renato da Silva. Competência criminal da justiça federal. São Paulo: RT, 2002. p.48

[45] BRASIL. Supremo Tribunal Federal. Habeas Corpus nº 70.563-4. Paciente: Luiz Roberto Gasque. Impetrante: Maurício Júlio Farah e outro. Coator: Tribunal Regional Federal da 4ª Região. Relator: Ministro Paulo Brossard. Brasília, 22 de outubro de 1993. DJ 22.04.1994, p. 8.943.

[46] Súmula 122 do Superior Tribunal de Justiça.

[47] CERT.br. Índices reportados ao CERT.br. Janeiro a Dezembro de 2006. Disponível em: <http://www.cert.br/stats/incidentes/2006-jan-dec/tipos-ataque-acumulado.html>. Acesso em 10 jan 2007.

[48] TORRINHA, Francisco. Dicionário português-latino, 2. ed. Domingos Barreira, [ca.1939] p.533.

[49] ______. Dicionário latino-português, 3. ed. Porto: Marânus, 1945. p. 818.

[50] NORONHA, Edgard Magalhães. Direito penal. 32. ed. São Paulo: Saraiva, 2002. v.2. p. 368.

[51] PRADO, Luiz Regis. Curso de direito penal brasileiro. 2. ed. São Paulo: Revista dos Tribunais, 2002. v. 2.  p. 515.

[52] JESUS, Damásio E. de. Direito penal. Parte Especial. 24. ed. rev. e atual. São Paulo: Saraiva, 2001. v. 2. p. 309.

[53] ALBUQUERQUE, Roberto Chacon de. A criminalidade informática. São Paulo: Juarez de Oliveira, 2006. p. 117.

[54] JESUS, Damásio E. de. Opus citatum. p. 328.

[55] BRASIL. Tribunal Regional Federal (1.Região). Apelação criminal nº 2004.39.01.001375-5/PA. Apelante: Éderson Barbosa da Silva. Apelada: Justiça Pública. Relator: Desembargador Federal Carlos Olavo. Brasília, 28 de novembro de 2005.

[56] ESTRADA, Manuel Martin Pinto. A internet banking no Brasil, na América Latina e na Europa. Revista Prismas. Direito, Políticas Públicas e Mundialização. UniCEUB. Brasília. V. 2, n. 1, janeiro-junho 2005. Disponível em: <http://www.mestrado.uniceub.br/revistamestrado/pdf/Artigo%20Manuel%20Martin%20Pino.pdf>. Acesso em 26 set. 2006.

[57] SILVA, Rodolfo Alves. Introdução da denúncia. [mensagem pessoal] Mensagem recebida por <aleneto@brturbo.com.br> em 1 jun. 2006.

[58] SUCESU. Prêmio SUCESU 40 anos. Internet Banking. Disponível em: <http://www.sucesu.org.br/sucesu40anos/index.php?meio=ganhadores.html>. Acesso em: 10 jan 2007.

[59] ZANON, Érica. Cresce uso de internet banking no Brasil. Folha de Londrina. 04 ago 2006. Disponível em: <http://www.bonde.com.br/folha/folhad.php?id=3635LINKCHMdt=20060804>. Acesso em: 05 mar 2007.

[60] BRAUN, Daniela. Opus citatum.

[61] ALBUQUERQUE, Roberto Chacon de. Opus citatum. p. 23.

[62] LAU, Marcelo. Opus citatum.

[63] VIANNA, Túlio Lima. Dos crimes pela internet. In: REINALDO FILHO, Demócrito (Coord.). Direito da informática: temas polêmicos. Bauru: Edipro, 2002. p. 211.

[64] PRADO, Luiz Regis. Opus citatum. p.149.

[65] PRADO, Luiz Regis. Bem jurídico-penal e constituição. 3. ed. rev. atual. e ampl. São Paulo: Revista dos Tribunais, 2003. p. 67.

[66] BECCARIA, Cesare. Dos delitos e das penas. São Paulo: Martin Claret, 2001. p. 101. (Coleção a Obra-Prima de Cada Autor).

[67] PRADO, Luiz Regis. Opus citatum. p. 149.

Country:

Editor notes: 
Author: 
 
http://www.alfa-redi.org/node/8970