Cibersegurança, saúde e direito penal

  • Pedro Miguel Freitas
  • 30 Outubro 2020

Os hospitais, já de si completamente assoberbados na tentativa de dar uma resposta eficaz a doentes infetados pela Covid-19, veem-se a braços com uma outra ameaça, desta vez digital: ransomware.

Numa época em que somos assolados por uma pandemia de efeitos avassaladores, a cibersegurança, ou a sua falta, volta a estar na ordem do dia. Os hospitais, já de si completamente assoberbados na tentativa de dar uma resposta eficaz a doentes infetados pela Covid-19, veem-se a braços com uma outra ameaça, desta vez digital: ransomware. Um tipo de software malicioso, o ransomware infeta sistemas informáticos, nomeadamente computadores, bloqueando o acesso aos mesmos ou cifrando o seu conteúdo. Os cibercriminosos por detrás destes ataques demandam depois o pagamento de uma certa quantia – um resgate (ransom) – para restabelecer o normal funcionamento do sistema informático e o acesso aos dados aí contidos.

Não se pense que se trata de uma ameaça nova, fruto dos últimos avanços tecnológicos. Embora com características ligeiramente diferentes, o primeiro ataque deste género ocorreu em 1989, quando Joseph Popp, doutorado da Universidade de Harvard e investigador na área do HIV/SIDA, distribuiu disquetes infetadas a 20 mil participantes de uma conferência sobre HIV/SIDA, organizada pela Organização Mundial de Saúde. Essas disquetes continham supostamente informação educacional sobre o HIV/SIDA, quando na verdade se tratava do “AIDS trojan”, um software que, após um determinado número de reinicializações do computador onde estava instalado, cifrava os nomes de ficheiros do computador, tornando-os ininteligíveis. Só depois de as vítimas enviarem 189 dólares para uma caixa postal no Panamá, em nome da PC Cyborg Corporation, é que receberiam um programa que decifrava os ficheiros.

Mais recentemente, há pouco mais de um mês, terá acontecido a primeira morte causada por ransomware na Alemanha. O hospital universitário de Duesseldorf foi alvo de um ataque de ransomware que paralisou 30 servidores informáticos. Após a leitura da nota de resgate, depositada num desses servidores, percebeu-se que o ataque tinha como destinatário a Universidade (Heinrich Heine) de Dusseldorf e não o hospital. Contactados pela polícia, os cibercriminosos deram conta do erro e enviaram o código que permitia restabelecer os servidores atingidos. Terá sido porém tarde demais. Uma paciente de 78 anos de idade teve de ser reencaminhada para um hospital localizado a cerca de 30 quilómetros de distância, em Wuppertal, e acabaria por falecer.

De um ponto de vista jurídico-penal, não nos parece descabido que se suscite a possibilidade de se imputar a prática de um crime de homicídio negligente, hipótese aliás assinalada pelas autoridades alemãs. Este tipo legal está de resto previsto na secção 222 (Fahrlässige Tötung) do Código Penal alemão (Strafgesetzbuch), onde se pune o agente com pena de prisão até cinco anos ou pena de multa.

Se o caso tivesse lugar em Portugal, e focando-nos nós apenas na tutela do bem jurídico vida, previsivelmente teríamos uma investigação criminal pela prática de idêntico crime, de homicídio negligente, que, na ordem jurídica portuguesa, implica a punição com pena de prisão de três anos ou pena de multa, a não ser que se trate de negligência grosseira, caso em que a moldura legal estende o seu limite máximo até aos cinco anos.

É certamente um caso a acompanhar de perto, não apenas pelo facto de ser a primeira vez que um ataque de ransomware leva, ainda que indiretamente, à morte de alguém, mas sobretudo porque a prevalência deste género de ataques e a frequência com que se dirigem aos sistemas informáticos de hospitais, alvos apetecíveis de ransomware em virtude da sensibilidade e importância dos dados informáticos aí encontrados, inevitavelmente redundarão em mais mortes.

  • Pedro Miguel Freitas
  • Doutor em Ciências Jurídicas Públicas e docente da Escola do Porto da Faculdade de Direito da Universidade Católica Portuguesa

Quanto vale uma notícia? Contribua para o jornalismo económico independente

Quanto vale uma notícia para si? E várias? O ECO foi citado em meios internacionais como o New York Times e a Reuters por causa da notícia da suspensão de António Mexia e João Manso Neto na EDP, mas também foi o ECO a revelar a demissão de Mário Centeno e o acordo entre o Governo e os privados na TAP. E foi no ECO que leu, em primeira mão, a proposta de plano de recuperação económica de António Costa Silva.

O jornalismo faz-se, em primeiro lugar, de notícias. Isso exige investimento de capital dos acionistas, investimento comercial dos anunciantes, mas também de si, caro leitor. A sua contribuição individual é relevante.

De que forma pode contribuir para a sustentabilidade do ECO? Na homepage do ECO, em desktop, tem um botão de acesso à página de contribuições no canto superior direito. Se aceder ao site em mobile, abra a 'bolacha' e tem acesso imediato ao botão 'Contribua'. Ou no fim de cada notícia tem uma caixa com os passos a seguir. Contribuições de 5€, 10€, 20€ ou 50€ ou um valor à sua escolha a partir de 100 euros. É seguro, é simples e é rápido. A sua contribuição é bem-vinda.

António Costa
Publisher do ECO

5€
10€
20€
50€

Comentários ({{ total }})

Cibersegurança, saúde e direito penal

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião