Lei do Cibercrime: no compasso das ameaças digitais

Os últimos anos têm sido marcados por avanços tecnológicos cada vez mais rápidos e significativos que, não obstante o vasto leque de benefícios que vieram impulsionar, indissociavelmente abriram portas para novas oportunidades para os cibercriminosos, como o ransomware, o phishing e o Cybercrime-as-a-Service.

Passaram-se 15 anos desde a consolidação da Lei n.º 109/2009 – a Lei do Cibercrime em Portugal. Desde então, têm emergido tecnologias disruptivas, como a inteligência artificial e ferramentas generativas, que possibilitam a sofisticação da atividade cibercriminosa.

Ao mesmo tempo, a preocupação internacional com as crescentes ameaças desencadeou o surgimento de um conjunto notório de instrumentos legislativos sobretudo pela mão da União Europeia (UE), que estabeleceu o precedente de uma tendência regulatória que visa garantir a proteção dos cidadãos e das instituições públicas e privadas no ciberespaço.

O quadro legal português enfrenta agora o desafio de acompanhar não só o atual contexto de cibersegurança e cibercriminalidade do país, como o ritmo regulatório imposto a nível internacional.

Regular o cibercrime

	Pedro Verdelho, diretor do Gabinete de Cibercrime da Procuradoria-Geral da República

Como explica Pedro Verdelho, diretor do Gabinete de Cibercrime da Procuradoria-Geral da República, a Lei do Cibercrime consiste num “quadro normativo que pretende responder às necessidades da investigação criminal dos fenómenos da cibercriminalidade”, incluindo normas referentes à tipificação dos crimes, à obtenção de prova digital e à cooperação internacional.

Em termos concretos, a Lei n.º 109/2009 transpõe para a ordem jurídica portuguesa uma Decisão Quadro do Conselho da Europa, relativa a ataques contra sistemas de informação, e a Convenção de Budapeste, a primeira internacional sobre o cibercrime. Trata-se, por conseguinte, de uma “lei declaradamente inspirada nos modelos internacionais”, estando “assim alinhada com as leis mais modernas ao nível global”.

O diploma legal prevê um conjunto de crimes informáticos, a saber: “a falsidade informática (de forma simplista, a produção de dados ou documentos falsos), a sabotagem informática (entendida como a perturbação de um sistema informático), o acesso ilegítimo, a intercepção ilegítima na transmissão de dados, a reprodução ilegítima de programa protegido, bem como o dano relativo a programas ou outros dados informáticos (ou, por outras palavras, o apagamento ou alteração de dados)”, enumera Joana Mota Agostinho, advogada e sócia coordenadora da área de Propriedade Intelectual, Tecnologias e Meios Digitais da Cuatrecasas.

Joana Mota Agostinho, advogada e sócia coordenadora da área de Propriedade Intelectual, Tecnologias e Meios Digitais da Cuatrecasas

Em 2021, a Lei do Cibercrime sofreu a sua primeira e única alteração, que se deveu à necessidade de transpor para o ordenamento jurídico nacional a Diretiva (UE) 2019/713 do Parlamento Europeu e do Conselho, relativa ao combate à fraude e à contrafação de meios de pagamento não numerário.

As alterações introduzidas à Lei n.º 109/2009, que deram origem à Lei n.º 79/2021, assentaram numa reorganização das normais penais no que respeita aos crimes contra meios de pagamento não corpóreos que, “embora estivessem já incluídos na lei, estavam dispersos e 'desarrumados', entre a Lei do Cibercrime e o Código Penal”, esclarece Pedro Verdelho.

Adaptar a lei à realidade

Três anos passados desde última revisão à Lei do Cibercrime, a emergência de tecnologias cada vez mais poderosas e disruptivas muniu os cibercriminosos de um arsenal de novas ferramentas, táticas e vetores de ataque. Isto reflete-se nos dados mais recentes da Procuradoria-Geral da República, que registou 1.363 queixas nos primeiros meses de 2023, mais 511 em comparação com o período homólogo do ano anterior.

O quadro normativo, refere Pedro Verdelho, apresenta uma linguagem “tecnologicamente neutral”, visto que “os crimes não estão focados em métodos criminosos (como por exemplo o phishing, ou o ransomware)”, mas sim “na violação de interesses jurídicos protegidos (por exemplo, a violação da confidencialidade, integridade e disponibilidade de dados e sistemas informáticos)”. Deste modo, “os crimes previstos na lei estão preparados para cobrir diferentes métodos criminais, existentes ou futuros, se violarem aqueles interesses protegidos”.

	Duarte Rodrigues Nunes, Professor Associado na Universidade Europeia

Dada a sua abrangência, a Lei do Cibercrime não pressupõe uma criminalização específica para o phishing, ransomware e cybercrime-as-a-service; todavia, “prevê todos os crimes que os agentes do phishing e do ransomware cometem nas várias etapas da execução destas atividades criminosas”, incluindo “falsidade informática, dano informático, sabotagem informática, acesso ilegítimo, burla informática, extorsão”, afirma Duarte Rodrigues Nunes, Professor Associado na Universidade Europeia.

A lei estende-se ainda ao caso do Cybercrimeas- a-Service, punindo condutas associadas à “produção, disponibilização e aquisição de dispositivos destinados à prática de crimes informáticos, incluindo o malware”. Outros instrumentos legislativos, como os artigos 26.º e 27.º do Código Penal, determinam também que “não é só o autor material (aquele que executa o crime) que é punido criminalmente”, existindo “uma vasta panóplia de condutas (incluindo a prestação de auxílio a quem executa o crime)” que são igualmente punidas.

Para o professor universitário, “sem prejuízo de alguns aperfeiçoamentos, a lei portuguesa contém os meios necessários para responder a estes fenómenos”.

Mudam-se os tempos, mudam-se as leis

Um ciberataque ocorreu a cada 39 segundos em 2023, o que representa mais de 2.200 casos por dia, de acordo com um estudo da Cybersecurity Ventures. No ano anterior, um incidente ocorria a cada 44 segundos. À medida que crescem as preocupações sobre um cenário de cibersegurança cada vez mais sombrio em Portugal e no mundo, levantam- se questões de robustez de uma lei com 15 anos de existência.

Para Joana Mota Agostinho, “é urgente e indispensável a revisão da Lei do Cibercrime para que possamos ter um regime jurídico com a capacidade de enquadrar e sancionar os atuais tipos de crimes informáticos existentes, bem como as novas técnicas e mecanismos de ameaça cibernética que poderão implicar o recurso a novas tecnologias, como a inteligência artificial”.

A Check Point, por sua vez, identifica três pontos- chave em que a Lei do Cibercrime pode carecer de atualização para se adaptar às mudanças no ciberespaço: a “sofisticação dos ataques”, sendo “essencial que a lei seja flexível o suficiente para abordar as táticas cada vez mais sofisticadas dos criminosos cibernéticos”; a inteligência artificial e ferramentas como deepfakes, “especialmente no que diz respeito à manipulação de informações e à privacidade das pessoas”; e o Cybercrime-as-a-Service, devendo “abordar não apenas os 'agressores' diretos, mas também aqueles que fornecem serviços e infraestrutura para atividades criminosas online”.

Quando a lei foi atualizada, em 2021, a inteligência artificial ainda parecia uma realidade longínqua. Agora, esta tecnologia “alterará o paradigma da nossa sociedade e, consequentemente, da criminalidade”, adverte Joana Mota Agostinho. “A Lei de Cibercrime deverá, sem dúvida, acautelar a prática de crimes através de qualquer tipo de tecnologia, devendo o texto da lei ser abstrato e agnóstico à tecnologia subjacente à prática dos crimes”.

O desafio da prova digital

A Lei do Cibercrime veio também contemplar os meios de obtenção de prova digital, definida como “qualquer tipo de informação, com valor probatório de uma determinada conduta, armazenada ou transmitida em sistemas e redes informáticas ou através de comunicações eletrónicas, sejam estas públicas ou privadas”, de acordo com a sócia da Cuatrecasas.

Em particular, o diploma legal prevê “a preservação expedita de dados, a revelação expedita de dados de tráfego, a injunção para apresentação ou concessão do acesso a dados, a pesquisa de dados informáticos, a apreensão de dados informáticos, a apreensão de correio eletrónico e de registos de comunicações de natureza semelhante, a interceção de comunicações e a as ações encobertas online”, diz Duarte Rodrigues Nunes.

Uma vez que os ciberataques estão cada vez mais sofisticados, a obtenção de prova digital consubstancia- se como um desafio redobrado na investigação e punição dos crimes informáticos. Joana Mota Agostinho afirma que, “à semelhança do que acontece nos outros tipos de crime, a justiça portuguesa peca por ser pouco expedita e processualmente complexa”, sublinhando que, “dada a fragilidade da prova (pelo seu caráter temporário e mutável), a justiça deveria agir com maior celeridade e eficiência”.

As dificuldades associadas à recolha da prova digital prendem-se com a sua “imaterialidade, invisibilidade, volatilidade e fragilidade”, esclarece Duarte Rodrigues Nunes. “Assim, a prova digital pode ser difícil de localizar (pois é facilmente dissimulável) e de aceder (pois pode ser necessário desencriptar os dados), pode ser destruída, manipulada, apagada ou modificada (incluindo por via de dispositivos automáticos de proteção, destruição ou modificação dos dados no caso de terceiros acederem ou tentarem aceder aos dados) e, em caso de descuido no seu manuseamento, os dados podem ficar inutilizados”.

Além disto, uma estratégia eficaz contra o cibercrime não pode, como consequência, assentar na violação dos direitos fundamentais dos cidadãos, nomeadamente a privacidade de dados, incluindo a dos arguidos e suspeitos alvo de investigação. Ainda em 2021, o Presidente da República vetou por inconstitucionalidade o diploma que alteraria a Lei do Cibercrime e permitiria a apreensão de emails sem ordem de um juiz.

Margarida Leitão Nogueira, sócia da DLA Piper

“A obtenção de prova digital é suscetível de restringir direitos fundamentais, devendo fazer-se dentro dos limites constitucionalmente consagrados”, defende Margarida Leitão Nogueira, sócia da DLA Piper. “Nesta medida, encontram-se previstas limitações à obtenção de prova, nomeadamente, considerando- se nulas todas as provas obtidas mediante abusiva intromissão na vida privada, no domicílio, na correspondência ou nas telecomunicações”.

Acompanhar o ritmo europeu

Os últimos anos têm sido marcados pela emergência de diversos instrumentos legislativos em matéria de cibersegurança, desde o Tratado da ONU sobre Cibercrime até ao Regulamento DORA e à Diretiva NIS2 da União Europeia, responsável por pautar o ritmo acelerado da nova tendência regulatória.

Enquanto os regulamentos europeus têm aplicação direta em cada país, as diretivas requerem uma transposição para a legislação nacional de cada estado-membro. Para Duarte Rodrigues Nunes, “a legislação portuguesa tem acompanhado – embora com algumas falhas – os instrumentos adotados pelo Conselho da Europa e a legislação da União Europeia em matéria de cibercrime e de cibersegurança”.

Margarida Leitão Nogueira relembra que, atualmente, “se alguns desses instrumentos se encontram ainda em processo legislativo europeu”, existem outros que “foram já publicados e se encontram em vigor (como é o caso da Diretiva NIS2 e do Regulamento DORA)”. No entanto, encontram- -se “ainda em prazo de transposição (no caso das Diretivas UE) ou no período transitório entre a entrada em vigor e a respetiva aplicação (no caso dos Regulamento UE)”.

No que diz respeito às novas linhas regulatórias, “importa adiantar que Portugal tem acompanhado de perto as discussões internacionais que lhes deram origem, intervindo de forma ativa nas mesmas”, refere Pedro Verdelho, que acrescenta que Portugal ocupa atualmente a presidência do Comité T-CY do Conselho da Europa, organismo em cujo seio se procedeu à redação do Segundo Protocolo à Convenção de Budapeste, e uma das vice-presidências do Comité AdHoc que realiza a redação do Tratado da ONU sobre Cibercrime.

	Ricardo Marques, Head of Consulting S21sec Portugal

Segundo Ricardo Marques, Head of Consulting S21sec Portugal, “a grande questão prende-se com a capacidade de, em cada país, estas diretivas e regulamentos serem aplicadas e implementadas”. Exemplo disto foi a introdução da diretiva NIS, que “demorou algum tempo até ser transposta para a legislação nacional, e até existir um documento que definisse concretamente o que é que cada organização teria de implementar do ponto de vista de medidas concretas, demorou ainda mais (apenas foi concretizado com o DL 65/2021)”.

Ricardo Marques não descarta a possibilidade de a história voltar a repetir-se com a NIS2, frisando que, devido a “estes atrasos”, “as organizações em Portugal estão muito atrás em termos de mecanismos de proteção, relativamente aquilo que são as novas tendências usadas pelos atacantes”.

Lacunas na lei portuguesa

Os novos desafios decorrentes da evolução tecnológica, como “o aumento da cibercriminalidade e da respetiva sofisticação”, exigem uma “quase constante necessidade de ajustar o quadro legal existente”, afirma Margarida Leitão Nogueira. Assim aconteceu em 2021, altura em que foram introduzidos novos crimes contra meios de pagamento não corpóreos na Lei do Cibercrime, uma alteração que marcou “uma crescente consciencialização sobre a importância de atualizar as leis para enfrentar os desafios emergentes da cibersegurança”, segundo a Check Point.

Desta forma, é evidente que a lei “carece de ser regularmente revisitada, para aferir da necessidade da incorporação de atualizações e 'novidades' que a evolução tecnológica vai fazendo surgir”, acredita Pedro Verdelho, acrescentando que, “em todo o caso, além destas normais atualizações legislativas, pode dizer-se que a Lei do Cibercrime tem assegurado com eficácia o quadro normativo nesta área específica”.

Joana Mota Agostinho, em contraste, considera que ainda existem lacunas na lei portuguesa, nomeadamente a “tipificação de crimes informáticos que surgiram desde 2021”, através “do uso de qualquer tipo de tecnologia e o aumento das penas de prisão, no sentido de reforçar a gravidade e o impacto dos danos causados por este tipo de crimes”.

Além disto, prevê-se para breve “a necessidade de introdução de novas normas processuais, para incorporar novidades resultadas do chamado pacote europeu 'e-evidence', que entrará em vigor em 2026 e do Segundo Protocolo à Convenção de Budapeste, já assinado por Portugal”, segundo Pedro Verdelho.