Os senadores membros da Comissão de Comunicação e Direito Digital aprovaram os termos do Projeto de Lei 1.049/2022, que tipifica o crime de extorsão digital e define pena de dois a cinco anos a ele. Conforme o texto, essa prática consiste em sequestrar um sistema de dados e exigir do indivíduo ou empresa proprietária algum pagamento para resgate das informações.
O PL visa combater as práticas comuns de ciberataque no Brasil e no mundo, baseadas especialmente na criptografia de dados essenciais por ransomwares. Do ponto de vista da comunidade de CISOs do Security Leaders, contar com uma Lei específica a esse caso desencoraja empresas a ceder às condições do crime cibernético, aumentando a confiança nas forças policiais.
Os C-Levels voltaram a alertar que seguir a chantagem do cibercrime gera diversas incertezas, e pode aumentar os danos à companhia. Segundo eles, não existem garantias de que os dados serão realmente devolvidos sem danos ou cópias. Além disso, o dinheiro pago pode ser usado, no futuro, para financiar outras operações ilícitas no Ciberespaço.
Embora seja uma prática recorrente, a maioria das Lideranças em Cyber Security recomenda categoricamente priorizar todas as possibilidades de resposta ao invés de cogitar o resgate. Por meio de canais ativos de relacionamento com a SI, o board pode buscar melhores orientações sobre o assunto e agir com eficiência e conforme a lei.
Além disso, as empresas precisam se preparar para evitar cenários críticos de Segurança Cibernética capazes de tornar a pressão do cibercriminoso mais tentadora. Segundo os CISOs, construir planos de resposta eficientes e oferecer investimentos devidos ao setor cria um cenário mais maduro de resposta à crise.
De acordo com o Advogado e Sócio Fundador do Guilherme Guimarães Advogados Associados, Guilherme Guimarães, o principal avanço do PL é eliminar lacunas de entendimento no Código Penal sobre a extorsão digital, possibilitando respostas a eventuais delitos. Assim, essa é mais uma ferramenta à disposição das autoridades competentes na coerção do cibercrime no Brasil.
Todavia, Guimarães aponta a necessidade de aprimorar ainda mais a legislação sobre o tema visando acompanhar as transformações do crime cibernético. Nesse sentido, o apoio do setor de Segurança da Informação é vital no esclarecimento de dúvidas e na aplicação das leis.
“Ainda precisamos, por exemplo, desenvolver mecanismos eficazes na localização de criminosos baseados em outros países. Embora o Brasil participe da Convenção sobre o Crime Cibernético, os meios para a aplicação seguem rudimentares e lentos. Devemos estabelecer, portanto, mecanismos ágeis de comunicação entre os países signatários visando responder a crimes sem fronteiras físicas”, arrematou o advogado.
