Cibersegurança, saúde e direito penal

Numa época em que somos assolados por uma pandemia de efeitos avassaladores, a cibersegurança, ou a sua falta, volta a estar na ordem do dia. Os hospitais, já de si completamente assoberbados na tentativa de dar uma resposta eficaz a doentes infetados pela Covid-19, veem-se a braços com uma outra ameaça, desta vez digital: ransomware. Um tipo de software malicioso, o ransomware infeta sistemas informáticos, nomeadamente computadores, bloqueando o acesso aos mesmos ou cifrando o seu conteúdo. Os cibercriminosos por detrás destes ataques demandam depois o pagamento de uma certa quantia – um resgate (ransom) – para restabelecer o normal funcionamento do sistema informático e o acesso aos dados aí contidos.

Não se pense que se trata de uma ameaça nova, fruto dos últimos avanços tecnológicos. Embora com características ligeiramente diferentes, o primeiro ataque deste género ocorreu em 1989, quando Joseph Popp, doutorado da Universidade de Harvard e investigador na área do HIV/SIDA, distribuiu disquetes infetadas a 20 mil participantes de uma conferência sobre HIV/SIDA, organizada pela Organização Mundial de Saúde. Essas disquetes continham supostamente informação educacional sobre o HIV/SIDA, quando na verdade se tratava do “AIDS trojan”, um software que, após um determinado número de reinicializações do computador onde estava instalado, cifrava os nomes de ficheiros do computador, tornando-os ininteligíveis. Só depois de as vítimas enviarem 189 dólares para uma caixa postal no Panamá, em nome da PC Cyborg Corporation, é que receberiam um programa que decifrava os ficheiros.

Mais recentemente, há pouco mais de um mês, terá acontecido a primeira morte causada por ransomware na Alemanha. O hospital universitário de Duesseldorf foi alvo de um ataque de ransomware que paralisou 30 servidores informáticos. Após a leitura da nota de resgate, depositada num desses servidores, percebeu-se que o ataque tinha como destinatário a Universidade (Heinrich Heine) de Dusseldorf e não o hospital. Contactados pela polícia, os cibercriminosos deram conta do erro e enviaram o código que permitia restabelecer os servidores atingidos. Terá sido porém tarde demais. Uma paciente de 78 anos de idade teve de ser reencaminhada para um hospital localizado a cerca de 30 quilómetros de distância, em Wuppertal, e acabaria por falecer.

De um ponto de vista jurídico-penal, não nos parece descabido que se suscite a possibilidade de se imputar a prática de um crime de homicídio negligente, hipótese aliás assinalada pelas autoridades alemãs. Este tipo legal está de resto previsto na secção 222 (Fahrlässige Tötung) do Código Penal alemão (Strafgesetzbuch), onde se pune o agente com pena de prisão até cinco anos ou pena de multa.

Se o caso tivesse lugar em Portugal, e focando-nos nós apenas na tutela do bem jurídico vida, previsivelmente teríamos uma investigação criminal pela prática de idêntico crime, de homicídio negligente, que, na ordem jurídica portuguesa, implica a punição com pena de prisão de três anos ou pena de multa, a não ser que se trate de negligência grosseira, caso em que a moldura legal estende o seu limite máximo até aos cinco anos.

É certamente um caso a acompanhar de perto, não apenas pelo facto de ser a primeira vez que um ataque de ransomware leva, ainda que indiretamente, à morte de alguém, mas sobretudo porque a prevalência deste género de ataques e a frequência com que se dirigem aos sistemas informáticos de hospitais, alvos apetecíveis de ransomware em virtude da sensibilidade e importância dos dados informáticos aí encontrados, inevitavelmente redundarão em mais mortes.