Cibercrime. “A IA tem todos os ingredientes para ser a grande ameaça dos próximos anos”

David Silva Ramalho colabora com a Morais Leitão desde 2016, integrando a equipa de criminal, contraordenacional e compliance da sociedade. A sua atividade enquanto advogado, já com mais de 10 anos de prática, centra-se nas áreas de contencioso criminal e contraordenacional, particularmente nos domínios económico-financeiro e das tecnologias de informação, em Portugal e também em articulação com advogados de outras jurisdições em processos de alcance transnacional.

No contencioso criminal, acumula experiência significativa na área do cibercrime e da prova digital, assumindo a representação de clientes em processos-crime relacionados com crimes informáticos em sentido estrito (incluindo hacking, phishing, pharming, ransomware, DDoS ou interceções ilegítimas), crimes informáticos de natureza económica, relacionados nomeadamente com criptomoedas e tokens, e ainda em crimes contra as pessoas, como cyber stalking e cyber bullying. Conjuga essa atividade com assessoria regular a diversas entidades sobre matérias relacionadas com cibersegurança e criminalidade informática, incluindo na coordenação da reação jurídica, processual e operacional perante ataques informáticos.

Em entrevista à Advocatus, fala da relação do cibercrime com a Inteligência Artificial.

Quais os crimes informáticos mais comuns em Portugal? Phishing, ransomware, fraude online, difamação em redes sociais, acesso ilegal a sistemas?

A resposta depende, primeiro, de saber o que são crimes informáticos, e, logo a seguir, do método que escolhermos para os contar. Dito assim parece uma (dupla) esquiva à pergunta, mas não é, e vou já justificar porquê.

O conceito de crime informático, ou de cibercrime, tem dois sentidos possíveis: pode referir-se aos crimes que só podem ser cometidos em ambiente digital, ou aos crimes que também podem ser cometidos em ambiente digital. Na primeira categoria estão tipicamente o hacking (entre nós conhecido como acesso ilegítimo), a disseminação de malware (geralmente contido no dano informático), ou os conhecidos ataques de denegação de serviço (sabotagem informática). Na segunda categoria, podemos incluir quaisquer crimes que podem ser cometidos tanto em ambiente físico como em ambiente digital. É o caso das velhas burlas, extorsões, injúrias, distribuições de material de abuso sexual de menores, ou até, no limite, dos tradicionais crimes contra a vida, desde que praticados por meio informático – basta pensar, neste caso, no ataque de ransomware ao Hospital Universitário de Düsseldorf, em 2020, que acabou por conduzir à morte de uma pessoa. A distinção nem sempre é fácil de fazer, e há casos de fronteira (como o phishing, a sextortion e até o ransomware, que têm um pé em cada categoria), mas ainda assim é importante separar os conceitos porque os resultados são diferentes e revelam coisas distintas.

Depois de separarmos os crimes informáticos em sentido próprio e em sentido impróprio, temos de perceber como os contamos, sabendo de antemão que a maior parte destes crimes nunca chegará ao conhecimento das autoridades, e que qualquer cálculo que não tenha por base concretas denúncias, não passará de uma estimativa.

Por isso, a informação que temos para conseguirmos quantificar os crimes e vermos quais são os mais frequentes, é, em grande medida, composta por estatísticas de notícias de crimes que chegaram, de uma forma ou outra, ao conhecimento das autoridades, o que constitui uma amostra bastante reduzida.

Dito isto, e respondendo diretamente à questão, se nos focarmos nos crimes informáticos em sentido próprio, os tais que só podem ser cometidos em ambiente digital, as estatísticas apontam para uma incidência muito grande dos crimes de acesso ilegítimo, o que é compreensível, tendo em conta que costuma ser o passo anterior de outros crimes, mas também para os ataques de ransomware, em particular os dirigidos a empresas.

Se entrarmos nos crimes informáticos em sentido impróprio, o mais comum, com larga distância em relação ao segundo lugar, é a velha burla, nas suas diversas modalidades. É, aliás, neste tipo de crime que a criatividade dos cibercriminosos se torna mais evidente. Basta ver que no passado recente temos tido as burlas “olá mãe, olá pai”, as burlas com supostas dívidas de eletricidade, as burlas com ativos virtuais (com variadíssimos modos de execução), as burlas com mensagens alegadamente provenientes de autoridades a pedir pagamentos para suspensões de processos-crime, as burlas com falsas promessas de emprego, as burlas amorosas, entre muitas outras, e cada vez mais sofisticadas. Os motivos são fáceis de perceber: é que para este tipo de crimes, não há segurança informática que valha. A falha é sempre humana e é precisamente essa a vulnerabilidade que é explorada. A cibersegurança pode ser à prova de bala, mas vai sempre haver quem engana e vai sempre haver quem confia.

Se entrarmos nos crimes informáticos em sentido impróprio, o mais comum, com larga distância em relação ao segundo lugar, é a velha burla, nas suas diversas modalidades. É, aliás, neste tipo de crime que a criatividade dos cibercriminosos se torna mais evidente. Basta ver que no passado recente temos tido as burlas “olá mãe, olá pai”, as burlas com supostas dívidas de eletricidade, as burlas com ativos virtuais (com variadíssimos modos de execução), as burlas com mensagens alegadamente provenientes de autoridades a pedir pagamentos para suspensões de processos-crime, as burlas com falsas promessas de emprego, as burlas amorosas, entre muitas outras, e cada vez mais sofisticadas”

O cibercrime teve o seu primeiro aumento exponencial em 2020, ano marcado pela pandemia. Segundo dados da PGR, de 2023 a 2024 houve um aumento de 36% das denúncias recebidas. As pessoas (potenciais vítimas) estão mais atentas a este tipo de crime ?

O aumento do número de denúncias pode ter várias leituras, e essa é uma delas, sim. A minha leitura é ligeiramente diferente, e assenta na conjugação de quatro fatores: primeiro, o facto de ser especialmente fácil denunciar este tipo de crimes, uma vez que basta enviar um email para o Gabinete de Cibercrime junto da PGR para que se abra inquérito; segundo, parece-me, e isto pode ser defeito de ofício, que o aumento do número de denúncias tem também como fundamento um aumento do número de vítimas, resultante, em grande medida, da diversificação de práticas de burla e do uso de técnicas de engenharia social que as tornam mais eficazes, o que é potenciado pela entrada da tecnologia em várias áreas da vida pessoal, profissional e financeira, incluindo de pessoas que não sabem bem o que isso implica; terceiro, a pouca preocupação com privacidade e cibersegurança, tanto de pessoas singulares como de empresas, que se expõem muito e se protegem pouco; e quarto, o facto de as vítimas terem progressivamente menos vergonha de terem sido enganadas, e de considerarem que a probabilidade de se encontrar os cibercriminosos – especialmente quando haja valores subtraídos – justifica que se tente recorrer ao processo-crime.

Como tem sido a prática nos tribunais em matéria de crime informático?

Os tribunais penais não podem ser especializados por imposição constitucional. Embora isso tenha vantagens, acarreta também riscos evidentes: mesmo que o processo tenha passado por especialistas da PJ, do Ministério Público e por advogados com formação em cibercrime, o juiz que o julga pode não ter qualquer conhecimento técnico. O mesmo tribunal que decide um caso de hacking pode, na mesma semana, julgar homicídios, crimes de manipulação de mercado ou fraudes fiscais. Isto implica que o juiz só terá conhecimentos especializados quando tenha interesse pessoal ou profissional na matéria.

Na ausência desse conhecimento, os tribunais recorrem ao que conseguem entender do processo, muitas vezes apoiando-se na investigação do Ministério Público ou nas chamadas “regras da experiência comum”, mesmo quando estas não se aplicam à realidade digital. Recordo casos em que o tribunal se preparava para declarar uma falsidade informática com base em datas de ficheiros mal interpretadas, casos em que acreditavam que a PJ tinha tecnologia para desencriptar qualquer ficheiro, ou ainda em que acreditava que transações bitcoin de e para um concreto endereço podiam não ficar registadas na blockchain. Estes exemplos, entre muitos outros, mostram bem como o desconhecimento técnico pode levar a decisões jurídica e factualmente erradas.

A complexidade do cibercrime exige compreensão técnica, e essa compreensão não resulta apenas do contacto diário do juiz com tecnologia: tal como ter ADN não nos torna peritos em genética, usar computadores não nos torna aptos a julgar prova digital. O esforço para compreender é essencial à boa decisão jurídica.

Quais são os maiores desafios na investigação de cibercrimes? Rastreio de IPs anonimizados, agilidade dos criminosos?

Os desafios da investigação de cibercrimes dividem-se entre os práticos e os legais — sendo estes últimos os mais graves, por serem evitáveis. No plano prático, identificar suspeitos por IP tornou-se cada vez mais difícil, devido ao uso generalizado de VPN, browsers anonimizadores e tecnologias como o Carrier-Grade NAT, que associam o mesmo IP a dezenas de utilizadores. Soma-se a isto a falta de obrigação legal de conservação de logs por entidades privadas, o uso de canais encriptados, a volatilidade propositada dos dados e as técnicas anti-forenses usadas para iludir as investigações.

Mas onde o problema verdadeiramente se coloca, é na lei. A nossa Lei do Cibercrime não é atualizada desde 2009. Enquanto outros países realizam operações com inteligência artificial e interceção em tempo real, como aconteceu no SkyECC ou no Encrochat, Portugal debatia, até 2024, como apreender legalmente emails em processo penal. Ainda temos normas que se revogam tacitamente e que preveem a mesma coisa com requisitos diferentes, normas que remetem umas para as outras com as necessárias adaptações, sem que se saiba que adaptações são essas, temos ainda os problemas gerados pelos (impropriamente designados) metadados e a nova lei que se seguiu ao célebre acórdão do Tribunal Constitucional, entre muitos problemas interpretativos que dificultam a aplicação uniforme e clara destas normas.

É preciso reformar a parte processual da Lei do Cibercrime. Tem de se prever, de forma clara e detalhada, definições de dados informáticos que ajudem a compreender o regime aplicável a cada categoria, é preciso prever finalmente a figura do hacking legal, que em Portugal é utilizada sem se saber bem como e com que base legal em investigações criminais, é necessário desenvolver a figura do agente encoberto em ambiente digital, é necessário reformar os requisitos e pressupostos da pesquisa e apreensão de ficheiros informáticos, é necessário clarificar, em linha com a recente jurisprudência do STJ, o regime da apreensão de correio eletrónico, é necessário clarificar o regime jurídico da apreensão de ativos virtuais, entre muitos outros pontos.

Empresas vítimas de data breaches podem ser responsabilizadas por negligência?

Criminalmente não é impossível, mas é difícil. Era preciso ser um data breach com fonte interna na empresa, por parte de quem estivesse obrigado a sigilo profissional, e ainda era preciso que se verificasse um fator de imputação de responsabilidade à pessoa coletiva, como seja, muito resumidamente, o crime ter sido praticado por uma pessoa em posição de liderança, ou ter havido a violação de um dever de vigilância sobre o infrator.

Num data breach típico, resultante de um ataque externo, pode haver responsabilização a título contraordenacional, se não tiverem sido cumpridas as normas exigíveis na proteção dos dados pessoais, e também a título civil, por parte de quem tenha sofrido um dano atribuível a esse ataque.

A complexidade do cibercrime exige compreensão técnica, e essa compreensão não resulta apenas do contacto diário do juiz com tecnologia: tal como ter ADN não nos torna peritos em genética, usar computadores não nos torna aptos a julgar prova digital. O esforço para compreender é essencial à boa decisão jurídica”

Quais as novas ameaças em ascensão no contexto destes crimes?

As novas ameaças no crime são quase sempre as tecnologias mais recentes. Quanto mais inovadora e útil for a tecnologia do momento, maior a probabilidade de se tornar na nova tendência do crime. Sempre foi assim. Aliás, basta ver que já em 1925, no caso Brooks v. United States, o Supremo Tribunal Federal dos EUA afirmava isto, mas na altura a propósito da massificação do uso do automóvel. Dizia-se à data que a mudança radical no transporte de pessoas e bens, provocada pela introdução do automóvel, a velocidade com que se desloca e a facilidade com que pessoas mal-intencionadas conseguem evitar a captura, eram um dos grandes incentivos ao aumento da criminalidade. Avançamos um século e já vimos isto acontecer com muitas outras tecnologias: a Internet, as redes anónimas de comunicação, a encriptação, as impressoras 3D, os criptoativos e agora, claro, a Inteligência Artificial.

De entre as ameaças do momento, se tivesse de escolher apenas uma, não teria dúvidas em colocar a Inteligência Artificial no topo. Tem todos os ingredientes para ser a grande ameaça dos próximos anos: é fácil de utilizar, é gratuita, é sofisticada, é potencialmente anónima, é criativa e é muito boa a enganar humanos.

Parece que ainda há pouco tempo discutíamos quando é que a Inteligência Artificial passaria o teste de Turing, e agora usamos o ChatGPT como psicólogo, consultor, coach, confidente, amigo, sempre com um “por favor” e um “obrigado” no final de cada pergunta. Com esta evolução e massificação repentina da Inteligência Artificial, não espanta que de repente ela tenha passado a ser utilizada para a criação de deepfakes, para a criação de esquemas de phishing e de vishing altamente personalizados e convincentes, para a identificação de vítimas através de reconhecimento facial ou de análise de perfil, para a manipulação de sistemas automatizados, como plataformas de jogo e afins, e até para a criação de conteúdo fraudulento inovador. E isto para já, ainda estamos no início.

O cibercrime pode ou está a aumentar com a explosão da Inteligência Artificial?

Não há dúvida de que o cibercrime com recurso a Inteligência Artificial está a aumentar, incluindo em ataques estatais, e assim continuará nos próximos anos. Os casos mais conhecidos são os de utilização destas tecnologias para assistência na criação de comunicações de phishing e para deepfakes (incluindo para criação de imagens sintéticas que facilitem burlas), a que já me referi, mas há também registos da sua utilização para pesquisas de vulnerabilidades, para reconhecimento de alvos para ataques, para criação de malware com aprendizagem automatizada, para criação de esquemas mais sofisticados de furto de criptoativos e para criação de anúncios falsos, adaptados às preferências do utilizador, para burlas. Estes são apenas alguns exemplos, mas de certeza que para o ano teremos muitos mais, com que hoje ainda não podemos contar.

A legislação atual está preparada para crimes com recurso a Inteligência Artificial, no metaverso ou em smart contracts?

A maioria dos crimes praticados com novas tecnologias não exige alterações à lei penal. Burlas, extorsões ou ameaças continuam a ser os mesmos crimes — mesmo que agora ocorram no metaverso, com recurso a criptoativos ou Inteligência Artificial. Em alguns casos, mesmo havendo novas condutas lesivas, não é desejável legislar, sobretudo em contextos lúdicos onde o Direito Penal não deve entrar.

Ainda assim, há situações em que novas incriminações fazem sentido. Um exemplo é o uso de deepfakes com representações sexuais, que tem gerado a discussão sobre se existe um direito exclusivo à representação virtual da imagem de cada um em contexto sexual e, em caso afirmativo, se esse direito por si só constitui um bem jurídico criminalmente tutelável – o que levanta também a questão sobre se poderá incriminar a criação de ferramentas aptas a gerar essas imagens.

Noutros casos, a criminalização é mais discutível. Por exemplo, em França, desde 2019 que se criminaliza o uso de dados de juízes para prever decisões. Não tenho a certeza que faça sentido punir este tipo de condutas.

Mais complexos são os casos que desafiam os próprios conceitos do Direito Penal. Imagine-se uma DAO (organização autónoma descentralizada) que aprove, através da execução automatizada de um smart contract, uma ação criminosa. Este caso coloca problemas difíceis, como seja a possibilidade de responsabilização penal da DAO como eventual associação de facto, a aplicação no espaço da lei penal, perante condutas que são imateriais e transnacionais, problemas de comparticipação totalmente distribuída ou mesmo de imputação do facto por omissão de quem, em abstrato, e com base em permissões privilegiadas, possa dissolver a DAO ou vetar decisões.

Na Inteligência Artificial os problemas são ainda mais complexos, precisamente por ser imprevisível. Quando o output produzido pelo sistema seja um facto criminoso, é preciso ver como atribuir esse resultado criminoso a uma ação ou omissão humana, imputável ao produtor ou ao comercializador, o que coloca, entre outros, problemas de causalidade, de agência, e de responsabilidade subjetiva, que ainda não encontram soluções inteiramente satisfatórias.

Há situações em que novas incriminações fazem sentido. Um exemplo é o uso de deepfakes com representações sexuais, que tem gerado a discussão sobre se existe um direito exclusivo à representação virtual da imagem de cada um em contexto sexual e, em caso afirmativo, se esse direito por si só constitui um bem jurídico criminalmente tutelável – o que levanta também a questão sobre se poderá incriminar a criação de ferramentas aptas a gerar essas imagens”

Que medidas as empresas devem adotar para mitigar riscos de cibercrime?

Da minha experiência, são essencialmente quatro os vetores que permitem reduzir a probabilidade de um ataque ou os impactos causados. A primeira é técnica: a empresa tem de ter um conjunto de mecanismos técnicos de cibersegurança implementados. São muitos os casos em que um ataque informático ocorre porque não há duplo fator de autenticação ou porque entrou um email que podia ter sido bloqueado, tal como são muitos os casos em que o ataque é irreversível porque os backups estão todos online. A segunda é de formação e cultura da organização: são muitos os ataques que, por assentarem apenas em engenharia social, são tecnicamente impossíveis de evitar, mas que podem ser detetados por utilizadores com cultura em cibersegurança, desde que tenham tido formação, conheçam as políticas e saibam como funcionam os ataques. A terceira é de governance e compliance: tem de haver políticas de cibersegurança, mecanismos de proteção de dados e de kneed-to-know, auditorias frequentes, revisão de contratos e escolha cuidadosa de prestadores de serviços. A quarta é preparação para a resposta a incidentes: se a empresa estiver preparada para a eventualidade de um ataque, com um plano de resposta a incidentes bem definido, os impactos de um ataque podem ser mitigados.

Como acha que os tribunais portugueses têm interpretado delitos como o hacking ou a publicação não consentida de imagens íntimas (“revenge porn”)?

O hacking, juridicamente enquadrado como acesso ilegítimo, não levanta grandes dúvidas interpretativas. As discussões nos tribunais centram-se mais na legitimidade para apresentar queixa, na contagem dos crimes e na articulação com outros tipos legais. Na prática, os maiores desafios são de prova: o problema raramente é o que foi feito, mas sim quem o fez. Como há cada vez menos casos com um IP claramente associável ao suspeito, a prova tem de assentar em vários elementos, cuja combinação pode ou não convencer o tribunal.

Já a publicação não consentida de imagens íntimas tem hoje enquadramento legal claro, seja como violência doméstica, devassa através de meio de comunicação social, da Internet ou de outros meios de difusão pública generalizada ou coação, conforme o caso. Mas os principais entraves continuam a ser práticos e processuais.

Nos casos práticos, e fora o que acontece nas grandes cidades, em que as autoridades atuam de forma mais rápida, a morosidade da atuação do Ministério Público continua a ser um problema porque por vezes não evita crimes evitáveis ou deixa-os alastrar o dano causado.

A nível processual, destacaria a questão da publicidade do processo: após o inquérito, os processos são públicos, o que pode expor conteúdos íntimos, quando sejam usados como prova. Embora a lei não preveja exceções adequadas à publicidade, alguns tribunais já adotam soluções de equilíbrio — permitindo consulta apenas a sujeitos processuais e sem fornecer cópias desses conteúdos. É o bom senso a suprir lacunas da legislação.

A criminalização do hacking ético é um obstáculo à segurança cibernética?

O hacking ético com consentimento do titular do sistema não é crime e é uma boa ferramenta para melhoria da segurança informática. Esse consentimento pode ser direto, pela contratação de hackers para descobrirem vulnerabilidades, ou por anúncio público, como nos casos dos bug bounties com oferta de recompensas. O problema ocorre quando há hacking ético não solicitado. Mesmo com boas intenções, se houver acesso não autorizado ou dano a conduta é ilícita e punível, e bem.

Perante estas preocupações, a Proposta de Lei n.º 50/XVI/1.ª veio criar uma previsão legal expressa, a introduzir na Lei do Cibercrime, que excluiria a punibilidade do crime de acesso ilegítimo em casos de hacking ético sem consentimento prévio. Contudo, os cinco requisitos cumulativos exigidos pelo legislador são tão exigentes que, na prática, mantém-se grande incerteza jurídica para quem atua de boa-fé.

Como equilibrar a privacidade (ex.: cifragem E2E) e as necessidades das autoridades?

A investigação criminal, em particular com recurso a métodos ocultos, implica sempre invasão da privacidade. Escutas, buscas ou apreensões de comunicações são intrusivas e são atos necessariamente invasivos, e com um impacto muitas vezes irreversível na vida privada dos suspeitos e de quem com eles se relaciona. Quando esse impacto seja excessivo, a investigação criminal terá de seguir por outro caminho.

A encriptação ponta-a-ponta exemplifica este dilema. Algumas autoridades propõem a criação de backdoors em sistemas de comunicação para aceder a conteúdos cifrados. Esta solução parece-me a pior de todas: quem abre uma porta não controla quem a usa, e a vulnerabilidade dirigida às autoridades vai acabar por ser explorada por terceiros. Aprendemos isto com a Batalha das Termópilas: a segurança pode ser quase absoluta no que é visível, mas se há uma passagem secreta, mais cedo ou mais tarde ela vai ser descoberta por quem não se quer que a descubra.

A verdade é que, em alguns casos, existem alternativas. Recorrendo a dois exemplos extremos, basta ver os casos Encrochat e SkyECC, em que, perante comunicações encriptadas, as autoridades optaram pelo hacking dos dispositivos móveis utilizados pelos suspeitos e até – aqui com requisitos muito mais apertados e, em geral, de legitimidade mais duvidosa – pelo hacking do servidor central. É um caso difícil de transpor para a realidade portuguesa, desde logo porque cá essa atuação não teria previsão legal, mas pode servir de inspiração para o legislador e depois para as autoridades.