O Crime Informático na Prática Judiciária O tema vai ser abordado

O Crime Informático na Prática Judiciária
O tema vai ser abordado na perspectiva das investigações criminais e
também das sentenças que qualificam os factos apurados como crimes
informáticos. Na primeira destas áreas deve ser estabelecida desde já uma
distinção nítida a partir da qual estabilize porventura outro conceito, de
crimes cometidos através da informática, que não coincide sem mais com
aquele, de crimes informáticos. Os cometimentos de ambas as espécies estão
contudo entregues por razões pragmáticas ao sector da polícia criminal que
adquiriu maior familiaridade com o mundo cibernético, nomeadamente
associado às telecomunicações, e a partir da oficina de materiais ao crime
informático respeitantes.
Em boa verdade, os ambientes de registo geral e de memória informática
abrem caminho como nichos probatórios à pesquisa das práticas de um sem
número de outros crimes, tentados ou consumados aleatoriamente, i.é,
auxiliados apenas na facilidade da rede computacional: divulgação de
segredos, difamações, injúrias, acertos de violências, de exacções e enganos
patrimoniais, tudo o que mais imaginemos. Não se trata porém neles
evidentemente de crimes informáticos.
A Lei da Criminalidade Informática remonta na ordem jurídica portuguesa a
1991. Trata-se da Lei 109/91, de 17 de Agosto desse ano. Segue a técnica de
um catálogo de definições: rede informática, sistema informático, topografia,
produto semi-condutor, intercepção, valor elevado e consideravelmente elevado
(do prejuízo causado) e estabelece, como seria de esperar, quer a
responsabilidade criminal individual dos agentes do crime, quer a
responsabilidade criminal das pessoas colectivas, sociedades e meras
associações de facto, em nome e no interesse das quais tenham agido ao
autores físicos. Neste caso, penas aplicáveis de admoestação (e acessória de
caução de boa conduta), multa e dissolução.
A lei tipifica a falsidade informática, o dano relativo a dados ou programas
informáticos e a sabotagem, o acesso e a intercepção ilegítima, por fim, a
reprodução ilegítima de programa protegido. As penas vão de prisão até 1
ano ou multa de até 120 dias (acesso ilegítimo) até à prisão de 1 a 10 anos
(sabotagem com dano de valor consideravelmente elevado). São mais
comuns como penalidades:
• prisão até 3 anos ou pena de multa (dano informático, acesso
ilegítimo através da violação de regras de segurança, intercepção
ilegítima e reprodução não autorizada);
• prisão até 5 anos e multa até 600 dias (dano de dados ou
programas de valor elevado e sabotagem informática comum);
• prisão até 5 anos ou multa de 120 a 600 dias (falsidade informática
simples e com dolo de prejuízo ou de benefício ilegítimo);
• prisão de 1 a 5 anos (falsidade informática por funcionário público
no exercício de funções, sabotagem com dano de valor elevado, acesso
1
ilegítimo com tomada de segredo ou benefício e vantagem de valor
consideravelmente elevado).
Como linha do horizonte penal, por assim dizer, o art. 221 CP: burla
informática e das comunicações, aplicáveis as penas de 3 anos de prisão ou
multa, burla simples, prisão até 5 anos ou multa até 600 dias, burla de valor
elevado e prisão de 2 a 8 anos, burla de valor consideravelmente elevado. A
restituição ou reparação total ou parcial dá lugar ou pode dar lugar a uma
pena especialmente atenuada.
Em 2000, foram abertos 171 inquéritos e encerrados 190. Deram entrada 74
inquéritos por acesso ilegítimo, 35 de software ilegal, 9 de dano informático,
7 de burla com cartões de crédito, 6 de burla informática, 3 de sabotagem e 4
de falsidade. Entretanto, outros 18 diziam respeito a práticas pedófilas, 7 a
simples burlas, 4 a difamações/injúrias, 3 a abuso de dados pessoais,
restando 7 diversos, tudo segundo a estatística da Secção Central de
Investigação da Criminalidade Informática e Telecomunicações. Dos
inquéritos saídos, 33 deram lugar a acusação, 50 foram arquivados e 102,
estes de acesso ilegítimo por abuso de password alheia deram origem a uma
modalidade de suspensão do processo a que voltaremos. Entretanto foram
realizadas 34 intervenções das brigadas em buscas e de colaboração com
sectores da investigação de outros crimes. Houve 13 detenções.
Em 2001, foram abertos 216 inquéritos e encerrados 212. Deram entrada 65
inquéritos por acesso ilegítimo, 22 de software ilegal, 16 de dano informático,
15 de burla com cartões de crédito, 7 de burla informática, 12 de sabotagem e
8 de falsidade. Mas 35 outros diziam respeito a práticas pedófilas, 16 a
simples burlas, 16 a difamações/injúrias, restando 8 diversos. Dos inquéritos
saídos, 55 deram lugar a acusação, 56 foram arquivados e 17, estes de acesso
ilegítimo por abuso de password alheia, deram origem àquela modalidade de
suspensão do processo já referida. Foram também levadas a cabo 27
intervenções em buscas e de colaboração com sectores da investigação de
outros crimes. Houve 10 detenções nesse ano.
Em 2002, foram abertos 230 inquéritos e encerrados 292. Deram entrada 59
inquéritos por acesso ilegítimo, 18 de software ilegal, 5 de dano informático,
28 de burla com cartões de crédito, 18 de burla informática, 20 de sabotagem
e 5 de falsidade. 33 mais diziam respeito a práticas pedófilas, 16 a simples
burlas, 9 a difamações/injúrias e 9 a abuso de dados pessoais. Dos inquéritos
saídos, 87 deram lugar a acusação, 91 foram arquivados e 66 deram origem à
suspensão do processo. Foram ainda assim realizadas 34 intervenções em
buscas e de colaboração com sectores da investigação de outros crimes. 7
detenções.
Verifica-se deste modo uma constância de ocorrências, um êxito relevante da
investigação, significativas solicitações do pessoal com formação específica
de pesquisa no campo do crime informático para outros campos probatórios
e o sucesso em particular das medidas não institucionais no caso dos acessos
ilegítimos por abuso de password alheia, arguidos identificados na
percentagem de 90% e a quem foi outorgada censura branda, através da
alternativa de assunção do débito imputado à vítima.
2
Entre nós existe um dinâmico mas restrito núcleo de autores especializados
no crime informático1 que têm participado nos fora internacionais,
nomeadamente europeus e pode ser identificado um interesse relevante pela
jurisprudência internacional e nacional acerca do assunto. Por exemplo, a
revista informática da Ordem dos Advogados Direito n@ Net chama
actualmente à atenção para decisões proferidas nos EUA, aconselhando a
consulta do site do Departamento de Justiça norte-americano2. Escolheu para
dar a público duas decisões de tribunais norte-americanos: caso US vs
Mitnick3 e caso US vs Gorshkov4. Kevin Mitnick foi condenado em 99.08.09 a
46 meses de prisão aos quais se vieram a somar 22 meses, pena a que havia
já sido condenado por decisão anterior, e sanção que, segundo o articulista,
constituiu uma mensagem quanto à nova forma de actuar da Justiça norteamericana relativamente à criminalidade informática. Tinha acedido
ilegalmente a várias redes e apropriara-se ilicitamente de software em
desenvolvimento por entidades terceiras; sabotara programas de
computador pertencentes à Universidade de Southern Califórnia e usou os
computadores dessa Universidade para armazenar o software do qual se
tinha apropriado indevidamente. Gorshkov, residente na Rússia, país a partir
do qual cometeu os crimes, foi julgado após ter sido atraído aos EUA5 e
condenado a 36 meses de prisão. Ao contrário do que sucedeu no caso
Mitnick (responsabilidade civil quase simbólica) foi condenado para além da
sanção penal a restituir aos lesados USD 700.000. Gorshkov levara a cabo um
audacioso esquema que consistiu na utilização de números de cartão de
crédito alheios, detidos ilicitamente através do acesso ilegítimo a redes
informáticas de Bancos e fornecedores de serviços da internet, com a
finalidade de adquirir mercadorias que colocou à venda no site de leilões ebay. Diversificou o número de endereços de e-mail para o efeito criados.
Desenvolveu um software que lhe permitia leiloar os leilões do e-bay por
forma a agir simultaneamente como vendedor e como comprador.
No que diz respeito à jurisprudência nacional, e como ilustração da escolha
editorial por esses assuntos, anotemos que foram seleccionados dois
acórdãos: um da Relação do Porto, 02.05.016 e outro do Tribunal Judicial de
Coruche7. No primeiro foi decidido que a perda de bens a favor do Estado,
prevista na Lei da Criminalidade informática, subsume também os casos de
protecção de software. No segundo, o tribunal entendeu que a modificação de
dados, não incidindo exactamente sobre o chip original, não era adequada à
Destacam-se Manuel Lopes Rocha e Pedro Cordeiro, os Conselheiros Lourenço Martins e Garcia Marques,
Franscisco Pereira Calvão, Jaime Fernandes e Inácio Silva Cândido, autores de estudos que apresentaram ao então
Concurso para Inspector-Coordenador da PJ, Prof. Doutor Faria e Costa, e sobretudo Rogério Bravo, actual
Inspector-Chefe PJ. Recomenda-se a actualidade da reflexão sobre a arquitectura do ordenamento constante de:
AAVV, Lei do Cybercrime, Atlântica, Lisboa, 2003.
2 www.usdoj.gov/criminal/cybercrime .
3 www.usdoj.gov./criminal/cybercrime/mitnick.htm .
4 www.usdoj.gov./criminal/cybercrime/gorshkovsent.htm .
5 Para o efeito, os investigadores do FBI criaram uma sociedade fictícia de segurança informática, com sede em
Seattle e convidaram o hacker para participar nos Estados Unidos numa reunião com a finalidade de demonstrar as
suas capacidades, violando o acesso a uma rede informática: foi gravada em vídeo, onde Gorshkov discutiu com
vários polícias travestidos de funcionários da empresa as proezas dele enquanto hacker. Logo depois preso.
6 www.dsgsi.pt/jrp.nsf .
7
Pub.
Boletim
nº1
da
Delegação
de
Santarém
da
AO;
http:www.oa.pt/distritais/genericos/default.asp?sidc=477&idc=621 .
1
3
incriminação de falsificação de documento, cometido contudo um crime de
falsidade informática, porquanto o arguido e seus cúmplices, ao forjarem um
cartão apto, lograram interferir no tratamento computacional de dados
através dos quais era feita a gestão e controlo da concessão do preço
beneficiado do combustível. Ficou provado, na verdade, que um deles
fabricava cartões destinados a obter gasóleo agrícola, substituindo os chips
destes cartões por chips por si modificados8, nos quais introduziu os dados
de entidades que sabia terem um elevado plafond de utilização do
combustível subsidiado. Entretanto esses dados subtraía-os dos cartões
utilizados no posto de abastecimento por si explorado, simulando depois
abastecimentos que não tinham lugar, conseguindo assim obter do Estado,
segundo uma rede de auxílios dolosos, pagamentos avultados.
Esta é também uma das decisões judiciais escolhidas para hoje, aleatória
tentativa de balizar uma descrição dos casos mais frequentes, considerando
também alguns elementos da fundamentação das sentenças. Qualquer dos
arguidos foi condenado a 18 meses de prisão pelo crime de falsidade
informática, pena cumulada com a de 2 anos e 4 meses de prisão respeitante
à burla, ou seja, na pena unitária de 2 anos e 10 meses de prisão, suspensa
por 3, sob a condição de pagarem a indemnização arbitrada ao Estado e
respectivos juros no prazo de 6 meses após o trânsito. Acresceu a perda dos
bens que foram utilizados na e para a prática dos ilícitos da condenação. Os
juizes aceitaram a semelhança das características do interesse protegido pela
incriminação informática com as do interesse tradicionalmente tutelado
através dos delitos de falsificação, i.é, a segurança, a fiabilidade, a força
probatória dos documentos ou outros instrumentos com importância na vida
jurídica quotidiana, ficando assim a manipulação de dados ou programas com
valor probatório em pé de igualdade com a falsidade de outros documentos,
apenas mudando aqui o meio de levar a efeito a dita falsidade: o legislador terá
equiparado então ao escrito clássico a declaração registada em disco, fita
gravada ou a qualquer outro meio técnico, verificadas as condições de
inteligibilidade (ainda que para certo círculo de pessoas) que permitem
reconhecer o emitente, e sendo idóneo para provar um facto juridicamente
relevante. Para além do mais, diz a sentença, releva neste tipo de crimes a
intenção de provocar engano nas relações jurídicas, associado muitas vezes
ao prejuízo de outrem ou ao benefício ilegítimo para o autor ou interessado
próximo: traduz-se sempre na introdução errada ou na modificação de dados
correctos, a qual se consegue ou através do uso de programas genuínos mas
em que os dados são falseados (os programas são usados falseadamente), ou
através de programas que se destinam a falsear os dados, falseados os
próprios programas portanto.
O arguido principal aproveitou a circunstância de possuir máquinas POS (terminais de pagamento automático
instalados nos postos de abastecimento de combustíveis) e de manusear os cartões dos clientes de gasóleo agrícola,
com acesso aberto aos dados contidos nestes. Adestrou entretanto a habilidade informática num seminário
realizado em Barcelona, dirigido à feitura dos cartões e onde adquiriu chips, disquetes e cartões de teste
desenvolvidos por uma empresa desta área de actividade. A experiência subsequente permitiu-lhe obter um cartão
com as mesmas características dos cartões em causa, utilizando (i) um kit de programação EPROM, com disquetes
de software para leitura e gravação do chip; (ii) um dispositivo artesanal cuja configuração técnica lhe permitiu a
intercepção de dados entre a máquina POS e o cartão; (iii) um computador pessoal e uma mesa de programação
EEPROM/EPPO8.
8
4
Como paradigma das condenações por acesso ilegítimo e sabotagem
informática, foi seleccionado o acórdão da 9ª Vara Criminal de Lisboa, caso
MP vs Pedro, estudante universitário, do Instituto Superior Técnico (IST),
decisão que concebe, neste caso concreto, as duas infracções em concurso
aparente. Foi condenado, provadas as atenuantes da extrema juventude e da
capacidade intelectual para continuar a adquirir conhecimentos no mundo da
informática e aí desenvolver o seu poder criativo, na pena de 200 dias de multa
ou 133 dias de prisão subsidiária. Tinha acedido às contas dos
administradores do Centro de Informática IST9, bem como à área de trabalho
de um colega, tomando conhecimento de factos que estes aí guardavam,
copiando também ficheiros e obtendo desta forma benefícios a que sabia não
ter direito; substituiu comandos do sistema operativo, alterou a fonte de um
programa, enviou da área de trabalho de um professor uma mensagem
supostamente assinada pelo administrador do sistema, endereçada a
terceiro, e criou directorias, ficheiros e contas de utilizadores inexistentes:
perturbou assim todo o normal funcionamento do sistema. Contudo não ficou
apurado o montante do prejuízo que objectivamente terá causado ao IST,
nem que tivesse violado quaisquer regras de segurança ou segredo
legalmente protegido.
Como crimes de acesso ilegítimo, no entanto, têm sido qualificados pelos
tribunais certos quadros de facto que suportam dificilmente a subsunção. No
acórdão da 6ª Vara Criminal de Lisboa, MP vs Júlio, empregado de
pastelaria, 02.05.24, por exemplo, o arguido foi condenado pela prática do
referido crime em 18 meses de prisão, por ter utilizado cartões de débito
alheios nas ATM da rede bancária disponível ao público, obtidos, e os dados
de acesso, mediante comportamento ordenado a subtraí-los
fraudulentamente. Na verdade, para conseguir tais cartões utilizava uma tira
cortada de radiografia com dimensões adequadas a ser introduzida, dobrada
ao meio, na ranhura das ATM, ficando de fora dois pequenos pedaços,
colocados no bordo externo; ora, tal fita impedia que o cartão, uma vez
introduzido na máquina, fosse capturado, muito embora a ATM registasse a
captura como se a mesma tivesse realmente ocorrido, e visionasse a
mensagem correspondente. Por outro lado, o sistema impedia igualmente
que o cartão fosse expelido pela máquina: o arguido recuperava-o então,
puxando a fita pelos bordos, depois de ter aconselhado o utilizador a
protestar dentro da agência pelo facto da captura. Por sua vez, mantendo-se
nas proximidades naturalmente, memorizava o pin digitado pelo cliente,
bastando-lhe observar o movimento das mãos.
Como qualquer aluno do IST, ao arguido, assim que se matriculou, foi-lhe criada pelo CIIST uma conta a qual
corresponde a um número de identificação de aluno: dava-lhe acesso a uma área de trabalho no sistema
informático, condicionado pela password. Utilizando o seu equipamento informático da residência e também
aquela área de trabalho passou a aceder ao sistema informático do IST, utilizando o programa Xkey, disponível no
computador que funcionava como servidor da rede, e na internet. Obteve as password de quatro administradores
do sistema e assim a possibilidade de acesso às contas dos restantes utilizadores: copiou as passwords de 1285
alunos do 1º ano IST. Entre outros acessos, da área de trabalho de um dos administradores enviou uma mensagem
para um colega rival, como se fora da autoria do administrador em causa, convocando-o para uma reunião. Depois,
na área de trabalho desse seu colega alterou a fonte de um programa informático por forma a obter a remoção dos
ficheiros dos utilizadores que invocassem esse programa e introduziu ficheiros readme e motd nela inexistentes.
Foi dado como provado: demonstrou interesse pela informática a partir dos 11 anos de idade; viveu um período
conturbado ao entrar no IST, com origem no deslumbramento e na competitividade com os demais alunos;
simultaneamente começou a trabalhar como freelancer em regime de part-time na área da programação
informática.
9
5
No standard da motivação da sentença foi utilizada a fórmula: o material
comprovado permite subsumir o comportamento do arguido à prática como
autor material dos crimes por que vem acusado10 – subtracção de cartões de
crédito, com a consequente utilização dos mesmos contra a vontade dos seus
verdadeiros titulares, com a intenção conseguida de alcançar benefícios
patrimoniais indevidos à custa deles, e através da utilização de dados
informáticos sem autorização.
Entretanto, na constelação dos modos de operar destinados à obtenção de
dados informáticos alheios susceptíveis, através do sistema computacional
em que foram introduzidos, de produzir dano patrimonial aos desapossados,
tomemos por exemplo o caso a que se refere o acórdão do Tribunal do
Entroncamento, 02.04.26, MP vs José Luís, técnico de manutenção
informática: detentor de conhecimentos informáticos gerais e destro na
utilização de meios para fazer encomendas e aquisições de produtos e
serviços através de cartões de crédito, passou a utilizar elementos a estes
referentes, mas pertencentes a terceiros. O arguido efectuou assim diversas
compras, satisfeito o preço com os fundos canalizados para as alheias contas
bancárias-mães. Foi condenado por crime continuado de burla informática na
pena de 12 meses de prisão efectiva e nas indemnizações solicitadas pelos
Bancos que tinham suportado os prejuízos (€ 489,48 + € 226,97 e juros).
Para conseguir os números e os elementos de identificação dos cartões de
crédito, fez-se passar por funcionário da maior empresa do mercado
emitente e efectuou contactos com os portadores, conseguindo que eles
próprios lhe indicassem os dados cobiçados. Mas noutras situações levou a
cabo contactos telefónicos para locais onde normalmente são utilizados
cartões de crédito (postos de venda de combustíveis, p.ex.), e conseguiu
assim chegar ao conhecimento da identidade e da identidade informática das
pessoas que lá os utilizavam. Depois bastou servir-se do seu computador
pessoal e da rede da internet para consumar as encomendas, frequentemente
nos EUA, e os desembolsos.
Segundo a sentença, a burla informática e nas telecomunicações caracteriza-se
num atentado directo ao património, i.é, num processo executivo que não
contempla de permeio a intervenção de outra pessoa e cuja peculiaridade
reside no facto de a ofensa ao bem jurídico se observar através da utilização de
meios informáticos ou numa interferência nas telecomunicações, traduzindo-se
assim na circunstância de o sujeito activo produzir o dano mediante
interferência directa no sistema, deparando-nos com um iter criminis onde a
vítima em estado de erro se não apresenta. Por outro lado, quanto ao caso
concreto, diz a sentença: foram as circunstâncias exteriores que facilitaram ao
arguido a continuidade e a repetição dos actos criminosos por forma a
diminuírem-lhe a culpa. Na verdade... obtido o êxito da primeira vez, [repetiu]...
durante um período de cerca de quatro meses, durante o qual, após ter obtido
informações acerca de um número considerável de cartões de crédito, e de os
ter utilizado em seu benefício, efectuou diversas compras [através da internet],
10
Art. 7/1.2, Lei 109/91, 17.08; art. 259/1 CP (subtracção de documento); art. 221/1 CP (burla informática).
6
utilizando sempre os mesmos expedientes, e prosseguindo dada a facilidade
com que sucessivamente os conseguiu concretizar.
A Lei da Criminalidade Informática introduziu no ordenamento, como já
vimos, a solução da responsabilidade criminal das pessoas colectivas.
Importa portanto dar notícia de um exemplo de condenação de uma
sociedade comercial. Vai respigado da sentença do Tribunal de Coimbra, MP
vs Espectro..., Paulo e Luís, 97.06.24: a acusação era de prática do crime de
reprodução ilegítima de programa protegido, em co-autoria e sob a forma
continuada. Os arguidos foram condenados na pena de 50 dias de multa.
Ficou provado:
(i) Espectro... dedicava-se à comercialização de computadores sem software
de base, enquanto os outros arguidos eram sócios-gerentes e responsáveis
directos por toda a actividade comercial dela;
(ii) Desde há dois anos tinham vindo a proceder à aplicação de cópias de
programas (hard disk bund lig), nos computadores que forneciam aos
clientes, sem nada cobrarem por isso, mas também sem autorização dos
produtores, bem assim como à reprodução clandestina dos programas que
instalaram e passaram a utilizar nos computadores destinados ao serviço da
própria empresa;
(iii) Agiram em nome e no interesse de Espectro da qual eram sócios.
Na motivação da sentença foi escrito: a protecção atribuída ao programa de
computador [a que se aplicam as regras sobre a autoria e titularidade vigentes
para o direito de autor] incide sobre a sua expressão sob qualquer forma, não
prejudicando todavia a liberdade das ideias e dos conhecimentos que estão na
base de qualquer elemento de programa ou da sua inter-operacionalidade,
como a lógica, os algoritmos ou a linguagem de programação; o art. 9 da Lei
109/91 pune como tipo de ilícito a contrafacção que é um dos crimes contra os
direitos de autor, atingindo pois quer a reprodução quer a divulgação, quer a
comunicação ao público, requisitos que não são cumulativos11.
Segue a descrição do modus operandi do mais recente, mas também notável
episódio de criminalidade informática investigado pela SCICIT/PJ: caso
Alcazar, empresa de telecomunicações que actuava ilicitamente na prestação
de serviços de valor acrescentado. Socorreu-se de equipamentos sofisticados
e de quadros da especialidade de programação informática para desenvolver
programas maliciosos que uma vez acedidos induziam em erro o utilizador da
internet quanto à tarifação a que passavam a estar sujeitos: a ligação não era
efectuada pelo nº do ISP (Internet Service Provider) que o cliente
normalmente escolhia, e a valores normais do mercado, mas sim por um nº
de valor acrescentado de linhas eróticas de taxação muito elevada. Vejamos:
Citou, neste sentido, Prof. Doutor José Faria e Costa, Les Crimes Informatiques et dóutres Crimes dans le Domaine
de la Technologie Informatique au Portugal, in Revue International de Droit Pénal, 64º, nova série, 1º e 2º trimestres,
1993.
11
7
(i) Surgiram a certa altura queixas de utentes da internet: receberam
inesperadas contas telefónicas inflacionadíssimas, para cima dos
€1000,00.
(ii) E analisadas as facturas, fez-se notar o código serviço de audio-texto
em vez do código serviço de dados: nunca tinham contudo requisitado
aquele serviço de chamadas de valor acrescentado12.
(iii) Ora, os serviços de audio-texto são licenciados exclusivamente para
o serviço fixo telefónico, e os queixosos confirmaram, para além do mais,
que só tinham estado a navegar.
(iv) Entretanto, foi apurado que tinham, em geral, lido nos jornais diários
publicidade aos maliciosos sites www.loveball.com e www.miudas.com. E
quando lá chegaram tinham sido confrontados com o download de um
programa informático de tamanho reduzido, para então poderem aceder
e visualizar os sites em questão.
(v) Sem desconfiarem, instalaram-no e apareceram-lhes na barra de
ferramentas do ambiente de trabalho (desktop toolbar) uns tantos ícones
de ligação em rede: eram dialers13 extremamente bem construídos e em
especial bem elaborados para ligar os utentes a sites da internet, de
taxação intensa e exclusivamente portuguesa, sem trânsito internacional.
(vi) Esses dialers pré-ordenavam o modem a executar uma ligação
dissimulada para o número do serviço de valor acrescentado em vigor no
país, e provocavam simultaneamente o acesso remoto a outro sistema
informático: faziam os utentes membros de sites pagos, com password e
username, sem o saberem.
(vii) Na realidade era na segunda ligação que o dialer provocava que se
encontrava o segundo site alojado, com o conteúdo aliciante: a
visualização deste era paga como serviço de audio-texto.
Tem de ter-se em atenção entretanto que o dialer funcionava aqui como
acessório (plug in), software desenvolvido para ser integrado num programa
maior, dando-lhe outras funcionalidades e potencial. Estes dialers, com efeito,
iam fazer um uso mais intensivo do browser14 do Windows – Internet
Explorer, entre outros. Ao mesmo tempo, ordenavam ao modem dos
computadores dos utentes que marcasse determinado número, e uma vez
concluído todo o percurso, é que era acedido o site onde se gerava, desde
logo na conta telefónica, um determinado valor taxado segundo a cadência de
impulsos e a tarifação respectiva.
Mas nos muitos objectivos de um dialer está esse mesmo de manter o
utilizador nos sites pagos o maior tempo possível (ignorando o que se está a
passar efectivamente) e sem consciência do tempo a passar, agarrado pelo
conteúdo para adultos, quase ilimitado, do site acedido.
Tarifado pelos € 3,25/minuto ou € 200/hora.
Dialer: trata-se aqui de um ficheiro que continha um programa informático executável, descarregado (download)
de um computador servidor em determinado local da internet. Após o download, permitia a ligação a outro site na
internet, e que o utente lá permanecesse como membro desse site pago, com conteúdos para adultos, disponíveis e
ilimitados.
Esta forma de pagamento, sem recurso a cartão de crédito ou transferência bancária incide na factura do telefone,
neste caso, emitida pela Portugal Telecom.
14 Os browsers são programas informáticos e sucintamente permitem visualizar páginas (sites) na internet, navegar
por entre elas.
12
13
8
No decorrer da investigação foram surgindo outros sites e novos dialers: uma
vez mais os utentes não se apercebiam nunca das operações que os seus PC’s
estavam a executar, e com os consequentes enganos em volta dos sites em
questão.
Entretanto, no lançamento, a empresa tinha instalado cerca de 1000 linhas
telefónicas RDIS para consecução destes seus intentos: a forma de colocar os
sites na internet e também da ligação telefónica por modem, do percurso até
à chegada aos sites referidos, revestiu-se na instalação de linhas dedicadas de
alto débito a 512k, que mais não são do que circuitos de interligação aos
POPs de vários ISP a funcionar em Portugal. Tudo confidencial e sigiloso. Para
além do mais, Alcazar recorreu às mais criativas formas de cativar os utentes
fazendo publicar anúncios nos jornais diários, numa primeira fase, e
recorrendo a Pop-Ups em vários portais de outros ISP tanto portugueses
como estrangeiros.
Contaram-se mais de 4000 utilizadores defraudados; lucros ilícitos
exorbitantemente elevados15; quatro presos preventivos (um holandês, um
mexicano, um esloveno e um português).
A.A. Santos Carvalho16
Os valores envolvidos na facturação, não tendo ficado totalmente apurados, foram estimados todavia em cerca de
5 000 000$00/dia.
15
16
Agradeço a verdadeira co-autoria desta apresentação que devo à benevolência dos estimados
amigos Dr. Carlos Manuel A. Cabreiro, Coordenador (PJ) e Jorge Duque, Inspector-Chefe,
DCICCEF.
9
Bibl.:
AAVV, Crimes informáticos: Entre o Nada e o Assim-assim, in Boletim da
Ordem dos Advogados, Lisboa, N.24-25 (Jan.Fev / Mar.Abr. 2003).
AAVV, Relatório anual DCICCEF 2002, Lisboa, DCICCEF, 2003.
BRAVO, R., Criminalidade informática em Portugal: de 1993 a 1998, Lisboa:
Directoria de Lisboa da PJ, 1998.
BRAVO, R., Relatório de Análise Estratégica, Lisboa: SICIT/DCCCFIEF, 2000.
FARIA E COSTA, José, Les Crimes Informatiques et dóutres Crimes dans le
Domaine de la Technologie Informatique au Portugal, in Revue International
de Droit Pénal, 64º, nova série, 1º
e 2º trimestres, 1993.
FERNANDES, Jaime Nuno da Silva, O crime informático, in Revista de
Investigação
Criminal,
Porto,
N.30
(Julho
de
1989),
p.19-
29.
GOODMAN, Marc, Making computer crime count, in FBI-Law Enforcement
Bulletin, Washington, V.70,n.8 (August 2001), p.10-17.
HALE, Chris, Cybercrime : facts and figures concerning this global dilemma,
in Crime and Justice International, Chicago, V.18,n.65 (September 2002), p.56; 24-25.
LEWIS, Owen, International hacking, in Intersec, Surrey, V.3,n.2 (June 1993),
p.67-69.
MARQUES, Pedro Costa, Relatório da reunião do grupo de trabalho de peritos
em crime cibernético, Lisboa, SCICIT/DCICCEF, 2002.
VICENTE, Nuno, Relatório da participação no Ciberprojecto Internacional
CeBIT 2002, Lisboa, SCICIT/DCICCEF, 2002.
10