Foi vítima de ciberataque? O melhor é apresentar queixa. Veja o que diz a lei
Nas últimas semanas vários foram os ciberataques feitos a empresas portuguesas. Os advogados contactados pela Advocatus alertam para a denúncia e para a proteção das empresas.
Recentes dados do Gabinete de Cibercrime da Procuradoria-Geral da República revelaram que as denúncias de cibercrimes duplicaram em 2021, atingindo o número de 1.160 face às 544 feitas em 2020. Empresas como a Vodafone Portugal, Cofina, o Grupo Impresa e até a página de internet da Assembleia da República foram alguns dos mais recentes alvos deste tipo de crime por parte de hackers.
Num mundo cada vez mais globalizado, as empresas passaram a ter contactos diários com clientes e mesmo a operar através da internet e o aumento da dependência do digital é hoje uma realidade. Mas com a massificação da digitalização as empresas e os clientes ficaram ainda mais expostos aos crimes digitais.
Face a um ciberataque, a associada sénior da Antas da Cunha Ecija, Ana Catarina Silva, explica que as recomendações da Polícia Judiciária e do Centro Nacional de Cibersegurança são para a vítima denunciar o crime. Desta forma o mesmo passa a ser acompanhado e investigado pelas autoridades competentes.
“Na eventualidade de ser feito um pedido de resgate para que o sistema ou a informação afetada volte a ficar disponível ou acessível, recomenda-se que a vítima não pague o resgate, pois não é possível garantir que os criminosos cumpram a sua promessa, voltando a disponibilizar a informação ou o acesso aos sistemas”, sublinhou a advogada.
"As autoridades policiais dispõem de acordos de cooperação internacional, pelo que a apresentação de queixa é fundamental para a investigação e tratamento correto destes crimes.”
Ana Catarina Silva referiu ainda que deverá haver uma auditoria de cibersegurança para se conseguir identificar, proteger, detetar, responder e recuperar o que foi atacado. Se as vítimas forem detentoras de um seguro que cubra ataques informáticos, deverão ser elaborados os relatórios técnicos adequados e apresentados à seguradora.
“As empresas deverão assim ser dotadas de equipas informáticos, incluindo profissionais especializados na área da segurança da informação, auditores e juristas que as possam acompanhar ao longo de todo o processo”, acrescentou.
João Luz Soares, advogado da RSA-LP, adiantou também que no caso das empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, como a Vodafone, estão obrigadas a notificar a Autoridade Reguladora Nacional das violações de segurança ou das perdas de integridade com impacto significativo no funcionamento das redes e serviços.
“Nos últimos anos, têm sido feito um esforço considerável por parte da Polícia Judiciária na formação qualitativa dos seus meios, sendo que a Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) deve desempenhar um papel fundamental na sinalização e investigação deste novo tipo de criminalidade, por ser a unidade operacional especializada responsável por dar resposta preventiva e repressiva ao fenómeno do cibercrime”, garante o advogado.
Mas será necessário apresentar uma queixa ao Ministério Público (MP) para que o problema seja investigado ou pode este órgão por iniciativa própria investigar? Segundo os advogados, depende do tipo de crime em concreto. Ou seja, se for crime público, não estando dependente de queixa, o MP pode ter iniciativa para investigar.
“A maioria dos crimes informáticos depende de queixa, pelo que a intervenção do MP está condicionada à apresentação formal de uma denúncia por parte do lesado. É prática comum as empresas não apresentarem queixa, dando prioridade ao restabelecimento da sua operação e mitigação do evento de segurança, cedendo inclusive ao pagamento de resgastes impostos pelos hackers“, explicou à Advocatus Joana Mota Agostinho, sócia da Cuatrecasas e coordenadora da Comissão de Direito Digital, Privacidade e Cibersegurança da JALP.
A advogada alerta que o pagamento de resgastes a organizações criminosas tem o “efeito perverso” de estimular o aumento destes atos criminosos, ficando as empresas “reféns” destas organizações. “As autoridades policiais dispõem de acordos de cooperação internacional, pelo que a apresentação de queixa é fundamental para a investigação e tratamento correto destes crimes“, acrescentou.
"O legislador europeu está consciente de que as redes e os sistemas e serviços de informação desempenham um papel vital na sociedade e de que a sua fiabilidade e segurança são essenciais para as atividades económicas e sociais e, em especial, para o funcionamento do mercado interno.”
No caso concreto do ataque à Vodafone e tendo em conta o divulgado, a advogada Alexandra Mota Gomes, sócia da Antas da Cunha Ecija, acredita que estamos perante os crimes de sabotagem informática e de acesso ilegítimo.
“O crime de sabotagem informática é um crime público e, por conseguinte, quando tenha notícia do crime, o Ministério Público tem legitimidade para desencadear a investigação criminal, independentemente da apresentação de queixa por parte das vítimas. O crime de acesso ilegítimo, que se traduz no acesso não autorizado a um sistema informático, este tem natureza semipública, pelo que a legitimidade do Ministério o Público dependerá da prévia apresentação de queixa por parte do ofendido“, explicou a advogada.
Ainda assim, Alexandra Mota Gomes sublinhou que existem casos em que as penas previstas para o crime de acesso ilegítimo são agravadas e o MP pode dar início à investigação criminal mesmo que o ofendido opte por não apresentar queixa-crime. Por exemplo, quando através do acesso ilegítimo o autor tome conhecimento de segredo comercial ou industrial ou de dados confidenciais ou ainda quando o acesso se destine à obtenção de dados registados relativos a cartão de pagamento ou a qualquer outro dispositivo que permita o acesso a sistema ou meio de pagamento.
Das leis às obrigações das empresas
Várias são as leis que abrangem as matérias da cibersegurança, sendo uma das mais operacionais a Lei n.º 109/2009, de 15 de setembro, “Lei do Cibercrime”. Para além desta, existem dois diplomas: a Lei n.º 46/2018, de 13 de agosto que transpõe para o ordenamento jurídico português a Diretiva (UE) 2016/1148 e o Decreto-Lei n.º 65/2021, de 30 de julho que regula o primeiro diploma.
“Neles, são estabelecidos os requisitos de segurança e as obrigações de notificação de incidentes que as entidades da Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais, os prestadores de serviços digitais terão de cumprir, bem como os procedimentos de notificação voluntária de incidentes a todas as entidades que utilizem redes e sistemas de informação”, explicou Joana Mota Agostinho.
Já a Lei do Cibercrime (Lei n.º 109/2009, de 15 de setembro) estabelece as disposições penais materiais e processuais relativas a ataques contra sistemas de informação, adaptando o direito interno à Convenção sobre Cibercrime do Conselho da Europa.
“O legislador europeu está consciente de que as redes e os sistemas e serviços de informação desempenham um papel vital na sociedade e de que a sua fiabilidade e segurança são essenciais para as atividades económicas e sociais e, em especial, para o funcionamento do mercado interno”, garantiram Alexandra Mota Gomes e Ana Catarina Silva.
Quando os ataques afetem dados pessoais ou hajam suspeitas de que podem ter sido afetados, revelam ainda o Regulamento (EU) 2016/679, de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (“RGPD”) e a Lei n.º 58/2019, de 8 de agosto, a Lei de Proteção de Dados Pessoais (“LPDP”).
"É importante que as empresas definam o seu plano de segurança de informação de forma adequada e também o coloquem em prática de forma efetiva.”
À Advocatus, Joana Mota Agostinho referiu que, face à crescente sofisticação e diversificação dos ataques informáticos, é difícil para o legislador acompanhar todas as formas e meios de execução destes crimes. “Mais do que a legislação, é necessário que as nossas autoridades policiais estejam capacitadas para dar resposta a esta ameaça irreversível, não só em número de recursos mas também através da qualificação“, acrescentou.
Já Ana Catarina Silva acredita que a legislação portuguesa em matéria de cibersegurança tem tentado acompanhar o ritmo imposto pelo legislador europeu. Ainda assim, sublinha que só em 2021 é que foi publicado o Decreto-Lei n.º 65/2021, de 30 de junho, que regulamenta esta lei e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881, de 17 de abril de 2019.
“Muito embora o legislador português tenha recentemente dado alguma atenção a estas matérias, ainda existe um longo percurso a percorrer para que legislação em matéria de cibersegurança, seja adequada à realidade atual. Além do mais, as mudanças sentidas nos negócios e nos consumidores, catalisadas pelo contexto pandémico, tiveram também como consequência a verificação do aumento de ataques informáticos, sendo cada vez mais urgente regular este setor de forma adequada. A legislação caminha a passos lentos ao lado da veloz evolução tecnológica”, notou a associada sénior da Antas da Cunha Ecija.
Com o número variado de leis em matéria de cibersegurança, muitas são também as obrigações para as empresas. Obrigações legais de prevenção, identificação e recuperação que podem protegê-las de futuros ataques. Por exemplo, está estabelecido para a Administração Pública, operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais a obrigação de implementação de requisitos de segurança.
Joana Mota Agostinho explicou que entre os requisitos de segurança estão a elaboração de um inventário de ativos, a elaboração e implementação de matrizes de risco, políticas e planos de segurança de informação e a nomeação de uma pessoa responsável por estas matérias dentro da organização, bem como um contacto permanente. “Estas entidades estão ainda obrigadas a notificar o Centro Nacional de Cibersegurança em caso de ocorrência de um incidente de cibersegurança“, referiu.
“O desafio está então na implementação destes mecanismos preventivos, numa rede interligada de informação, formação e sensibilização dos empregadores, na construção de um mecanismo eficiente de compliance que transcenda o espaço físico e alcance o ciberespaço e todas as incertezas e inseguranças que o mesmo alberga”, sublinhou João Luz Soares.
Apesar de não ser uma obrigação jurídica, a aplicação das medidas previstas no Quadro Nacional de Referência para a Cibersegurança permite às organizações “reduzir o risco associado às ciberameaças”, disponibilizando as bases para que qualquer entidade possa cumprir os requisitos mínimos de segurança das redes e sistemas de informação, segundo a advogada Ana Catarina Silva.
Proteção é o mais importante
O nível de proteção que é necessário para uma pequena empresa não é o mesmo para uma de grandes dimensões. Os mecanismos de segurança variam e vão-se adaptando caso a caso. A PwC promoveu um inquérito a 56 organizações portuguesas de 12 setores e concluiu que a maior parte tem disponível um orçamento superior a 50 mil euros para cibersegurança. Mas um terço considera que o seu investimento nesta área “não é adequado face às ameaças existentes e potenciais”, enquanto 43% admitem ser “pouco, ou só em parte, equilibrado”.
Pedro Vidigal Monteiro, sócio da Telles, explicou que tem visto nas empresas de grande dimensão uma maior atenção ao tema da cibersegurança. Ainda assim, o advogado sublinhou que as empresas enfrentam problemas de atuação no espaço da segurança ou ao nível dos recursos humanos especializados, ou ao nível de investimento em tecnologia adequada para garantir a proteção da empresa e os seus recursos.
“É por isso importante que as empresas definam o seu plano de segurança de informação de forma adequada e também o coloquem em prática de forma efetiva. Este plano passa por ter em consideração vários pilares de abrangência dentro das empresas, a formação em cibersegurança, a avaliação contínua dos riscos e ameaças de segurança que possam colocar o negócio em risco e identificarem os atores corretos com as respetivas responsabilidades, poderão ser atores internos ou empresas especializadas que suportem e garantam a segurança do negócio”, referiu Pedro Vidigal Monteiro.
Para o sócio da Telles, um bom plano e segurança não deve ser mais abrangente “só porque as dimensões das empresas são maiores”. Defende antes que qualquer empresa de qualquer dimensão pode tirar partido de soluções inteligentes de cibersegurança, que as ajudam a implementar o seu plano de segurança de forma efetiva e proativa.
"Nos últimos anos tem sido feito um esforço considerável por parte da Polícia Judiciária na formação qualitativa dos seus meios.”
Já Joana Mota Agostinho defende que em primeiro lugar é necessário uma consciencialização que os ataques informáticos serão uma realidade muito próxima a qualquer empresa, independentemente da sua dimensão ou setor de atividade.
“As empresas (e, não menos importante, a Administração Pública) deverão definir e implementar um Programa de Cibersegurança, o qual implicará necessariamente o levantamento dos ativos existentes, a avaliação do risco e a implementação de medidas de segurança que garantam ou diminuam consideravelmente o acesso indevido a informação e documentação privilegiada e confidencial e/ou o bloqueio das atividades comerciais”, acrescentou.
Setores mais “apetecíveis”
Com o número de ciberataques a aumentar, vários são os setores que estão mais vulneráveis às “mãos” dos hackers. Um balanço publicado pela revista Forbes, em janeiro, refere que em todo o mundo os setores mais atacados em 2021 foram os da educação e investigação, saúde, comunicações, e no governo e forças armadas.
“Torna-se óbvio que os setores mais ‘apetecíveis’ são aqueles que vivem da informação e serviços como ativo principal. Falamos de setores que operam no âmbito de serviços essenciais, ou seja, serviços fundamentais para a manutenção de atividades societais ou económicas cruciais, que dependa de redes e sistemas de informação e em relação ao qual a ocorrência de um incidente possa ter efeitos perturbadores relevantes na prestação desse serviço (como setor da energia, dos transportes, bancário, saúde, entre outros)”, explicou Ana Catarina Silva.
Para a advogada a vulnerabilidade não depende do setor, mas sim do “nível de maturidade” que cada organização tem ou investe em ter ao nível da segurança da informação.
Para Joana Mota Agostinho os setores das comunicações eletrónicas, a banca e seguros, as utilities, os transportes, o retalho e a saúde são os que despertam maior interesse para as organizações criminosas, “pelo impacto que estes eventos causam na sociedade e na operação interna da organização”.
“Nos últimos anos temos observado uma maior incidência de ataques relacionados com os colaboradores das empresas, o primeiro vetor de ataque na sua grande maioria é a identidade. Muito derivado da alteração de paradigmas dentro das empresas, que no decorrer da transformação digital dos seus processos e também inclusive ao cenário que vivemos nos últimos dois anos, a realidade de exposição dos recursos das empresas foi alterada, as empresas adotaram na sua maioria, realidades novas de suporte à sua operação e partilha de recursos para o seu negócio”, concluiu Pedro Vidigal Monteiro.
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
Foi vítima de ciberataque? O melhor é apresentar queixa. Veja o que diz a lei
{{ noCommentsLabel }}