top of page
12fd299c-b05f-4293-9d67-e93a92064c8c.png

Phishing – Enganação Digital

O phishing é uma das formas mais comuns e sofisticadas de cibercrime, tendo profundo impacto não apenas sobre indivíduos e empresas, mas também para o sistema jurídico.

 

Compreender sua tipificação, fundamentos legais, desafios e o tratamento dado pelo direito internacional é fundamental para quem atua ou se interessa por Direito Digital e proteção de dados.

 

No mundo hiperconectado em que vivemos, a criminalidade não ficou para trás.

Assim como as relações humanas se digitalizaram, os crimes também evoluíram, dando origem ao que conhecemos como Cibercrime.

 

Esse fenômeno global representa um dos maiores desafios para o sistema jurídico e as forças de segurança de todo o planeta. Mas o que é, afinal, o cibercrime, e como o Direito se arma para combatê-lo?

 

O Que é Cibercrime? Uma Ameaça Digital e Real

 

Em termos simples, o cibercrime refere-se a qualquer atividade criminosa que envolve o uso de computadores, redes e a internet. Ele pode se manifestar de duas formas principais:

 

  1. O computador como ferramenta para o crime: Onde o meio digital é usado para cometer crimes que já existem no mundo físico, como fraude (estelionato), extorsão, difamação, calúnia, ou até mesmo pedofilia.

 

  1. O computador como alvo do crime: Onde o objetivo da ação criminosa é o próprio sistema informático, seus dados ou sua funcionalidade. Exemplos incluem invasão de sistemas, roubo de dados, ataques de negação de serviço (DDoS) e disseminação de vírus.

 

 

A natureza global da internet permite que cibercriminosos operem de qualquer lugar do mundo, atingindo vítimas em diferentes países, o que torna o rastreamento, a investigação e a punição extremamente complexos.

 

O phishing consiste na tentativa fraudulenta de capturar dados sensíveis (senhas, números de cartão de crédito, informações bancárias e dados pessoais) por meio de mensagens eletrônicas falsas que simulam a comunicação de empresas legítimas, bancos ou órgãos públicos. Essa fraude pode ocorrer por:

 

  • E-mails falsos: simulam boletos, podem conter links para páginas falsas muito semelhantes aos sites oficiais.

  • SMS (smishing): mensagem de texto com links maliciosos.

  • Chamadas telefônicas (vishing): criminosos ligam se passando por funcionários de bancos para obter dados.

  • Redes sociais e aplicativos de mensagens: compartilhamento de links maliciosos disfarçados de promoções ou solicitações urgentes.

 

Exemplo prático:

 

Imagine um consumidor que recebe um e-mail do que parece ser seu banco, pedindo atualização de cadastro. Ele insere seus dados, que vão direto para o criminoso. Esse espécie de fraude, caso acarrete prejuízo financeiro, enseja a responsabilização do banco se demonstrada a falha na segurança, conforme entendimento pacificado pelo STJ.

 

 

O Arcabouço Jurídico Brasileiro no Combate ao Cibercrime

 

No Brasil, o combate ao cibercrime tem se fortalecido, embora ainda haja lacunas a serem preenchidas.

 

O phishing, no âmbito jurídico brasileiro, é tipificado principalmente como estelionato (art. 171 do Código Penal), configurando fraude digital quando há obtenção de vantagem ilícita induzindo alguém a erro, mediante artifício, ardil ou qualquer outro meio fraudulento.

Também pode ser enquadrado em outros dispositivos, conforme a conduta do agente e as consequências do crime.

 

O sistema jurídico se utiliza de uma combinação de leis penais gerais e legislação específica para crimes informáticos:

 

  1. Lei nº 12.737/2012 (Lei Carolina Dieckmann): Essa é a principal legislação específica para cibercrimes no país. Surgiu da necessidade de tipificar condutas antes não previstas, como a invasão de dispositivos informáticos. Ela alterou o Código Penal para incluir:

 

  1. Art. 154-A: Invasão de dispositivo informático, com o fim de obter, adulterar ou destruir dados ou informações sem autorização do titular, ou instalar vulnerabilidades para obter vantagem ilícita.

  2. Art. 266, §1º: Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública.

  3. Art. 298: Falsificação de documento particular (que pode ser estendido para documentos digitais).

  4. Art. 313-A e 313-B: Inserção de dados falsos em sistemas de informações e modificação ou alteração não autorizada de sistema de informações, voltados para o funcionalismo público.

 

  1. Código Penal (CP): Muitos crimes cibernéticos são enquadrados em tipos penais já existentes no CP, com a internet ou os sistemas informáticos servindo como meio para a prática do delito. Exemplos comuns:

 

  1. Estelionato (Art. 171): Fraudes online, golpes de phishing, e-commerce falso.

  2. Extorsão (Art. 158) e Extorsão Mediante Sequestro (Art. 159): Casos de ransomware (sequestro de dados mediante pagamento de resgate).

  3. Crimes contra a Honra (Arts. 138 a 140): Calúnia, difamação e injúria praticadas em redes sociais ou blogs.

  4. Falsidade Ideológica (Art. 299): Criar perfis falsos para fins ilícitos.

  5. Crimes Sexuais: A Lei nº 13.718/2018, que alterou o CP, criminaliza a divulgação de cena de estupro, de cena de sexo ou de pornografia (Art. 218-C) sem consentimento, conduta frequentemente praticada no ambiente digital.

 

  1. Marco Civil da Internet (Lei nº 12.965/2014): Embora não tipifique crimes, é fundamental para o combate ao cibercrime ao estabelecer princípios, garantias, direitos e deveres para o uso da internet no Brasil, incluindo a privacidade dos usuários e a responsabilidade dos provedores de conexão e de aplicações, o que facilita a investigação de ilícitos online.

 

  1. Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018): Essencial para proteger dados pessoais, sua violação é muitas vezes o objetivo ou a consequência de cibercrimes. A LGPD impõe sanções administrativas e civis para o tratamento indevido de dados, complementarmente às sanções penais.

 

 

  1. Lei nº 14.155/2021: aumentou as penas em crimes patrimoniais praticados mediante fraude eletrônica, especialmente se praticados com uso de informações fornecidas pela vítima por meio de redes sociais, contatos telefônicos ou e-mail.

 

Exemplos Ilustrativos de Cibercrimes

 

  • Phishing: Envio de e-mails, mensagens ou ligações fraudulentas que se parecem com comunicações de instituições legítimas (bancos, empresas) para enganar a vítima e obter seus dados pessoais ou financeiros.

  • Ransomware: Um tipo de software malicioso que criptografa os dados da vítima e exige um pagamento (geralmente em criptomoedas) para que sejam descriptografados.

  • Ataques DDoS (Negação de Serviço Distribuída): Inundação de um servidor ou rede com tráfego massivo para sobrecarregá-lo e torná-lo inacessível.

  • Roubo de Dados (Data Breaches): Invasão de sistemas de empresas ou governos para furtar informações confidenciais, financeiras ou pessoais.

  • Fraudes em E-commerce: Sites falsos que simulam lojas legítimas para capturar dados de pagamento ou vender produtos que nunca serão entregues.

  • Ciberbullying e Cyberstalking: Assédio e perseguição online, muitas vezes com ameaças ou difamação.

 

Jurisprudência Dominante: Um Caminho em Construção

 

A jurisprudência brasileira sobre cibercrime está em constante evolução. Dada a natureza dinâmica da tecnologia, os tribunais têm se adaptado para aplicar as leis existentes aos novos cenários. O que se observa é:

 

  • Valoração da Prova Digital: A Justiça tem reconhecido a validade e importância das provas digitais (registros de acesso, logs, metadados) para a condenação, exigindo, porém, que sejam coletadas e preservadas por profissionais capacitados (perícia forense digital).

  • Aplicação Analógica e Extensiva: Em casos não expressamente previstos pela Lei Carolina Dieckmann, os tribunais frequentemente buscam a aplicação analógica de tipos penais mais genéricos do Código Penal, adaptando-os à realidade virtual.

  • Responsabilidade dos Provedores: O Marco Civil da Internet estabelece que provedores de aplicação (redes sociais, sites) só podem ser responsabilizados por conteúdo de terceiros se, após notificação judicial (e em alguns casos, extrajudicial), não removerem o conteúdo ilícito. Isso impacta na investigação, pois a identificação do autor depende muitas vezes de ordem judicial para que o provedor forneça os dados.

  • Dificuldade de Autoria e Conexão Transnacional: A complexidade na identificação dos autores e a transnacionalidade dos crimes são desafios constantes, levando a muitas investigações sem autoria definida.

 

Direito Internacional: A Necessidade de Cooperação Global

 

O cibercrime não respeita fronteiras, exigindo uma resposta coordenada internacionalmente.

 

  • Convenção de Budapeste sobre Cibercrime (2001): Este é o principal tratado internacional sobre o tema. Elaborado pelo Conselho da Europa, tem como objetivos: harmonizar a legislação nacional sobre crimes informáticos, melhorar as capacidades de investigação e promover a cooperação internacional. O Brasil é signatário da Convenção, mas ainda não a ratificou completamente, o que limita a plena troca de informações e assistência mútua com os países signatários.

  • Mecanismos de Cooperação Policial e Jurídica: Organizações como a Interpol (polícia internacional) e a Europol facilitam a troca de informações entre as agências de segurança. Tratados de Assistência Judiciária Mútua em Matéria Penal (MLATs) são cruciais para que um país possa solicitar dados ou provas localizadas em outro.

  • Desafios Internacionais: 

    • Diferenças Legislativas: O que é crime em um país pode não ser em outro.

    • Soberania: A coleta de provas em outro território exige respeito à soberania e leis locais.

    • Proteção de Dados: Conflitos entre leis de privacidade (como o GDPR europeu) e a necessidade de acesso a dados para investigações.

    • Velocidade: A rapidez com que o cibercrime acontece contrasta com a lentidão dos processos de cooperação internacional.

 

Desafios e Perspectivas para o Futuro:

 

O combate ao cibercrime é um jogo de gato e rato, onde a lei e a tecnologia precisam estar sempre um passo à frente dos criminosos.

 

  • Legislação Dinâmica: A necessidade de uma legislação que seja capaz de se adaptar rapidamente às novas modalidades criminosas que surgem no ambiente digital. A burocracia legislativa é um entrave.

  • Capacitação e Especialização: A formação de profissionais do Direito (policiais, promotores, juízes, advogados) especializados em direito digital e forense computacional é crucial para a efetividade das investigações e processos.

  • Criptomoedas: A proliferação de criptoativos dificulta o rastreamento e o confisco do produto do crime, exigindo novas ferramentas e legislações (como já abordamos no post sobre lavagem de dinheiro com cripto).

  • Inteligência Artificial (IA): Como vimos no post anterior, a IA pode ser usada tanto para cometer quanto para combater crimes, e sua regulamentação é um campo de batalha jurídico.

  • Conscientização e Prevenção: A educação digital da população é a primeira linha de defesa contra muitos cibercrimes, ensinando as pessoas a identificar golpes e proteger seus dados.

  • Parceria Público-Privada: A colaboração entre o governo, as forças de segurança e o setor privado (empresas de tecnologia, cibersegurança, provedores) é vital para compartilhar inteligência e desenvolver soluções.

  •  Atualização Legislativa Contínua: O phishing evolui rapidamente, exigindo constante revisão normativa.

  • Educação digital: Campanhas de prevenção e conscientização são tão importantes quanto a repressão penal.

  • Provas digitais: A tempestividade na obtenção de registros eletrônicos é essencial para o sucesso das investigações

  • Responsabilidade empresarial: Empresas devem investir em segurança da informação para proteger clientes e evitar litígios.

 

O enfrentamento do phishing exige atuação conjunta: legislação eficaz, aplicação rigorosa do direito, cooperação internacional e estratégias preventivas de educação digital. Trata-se de um desafio permanente para a advocacia e para o Poder Judiciário, que devem estar sempre atentos às inovações tecnológicas

e às mudanças dos padrões de fraude.

 

Em suma, o cibercrime é uma realidade complexa que exige do Direito uma constante atualização e uma abordagem multidisciplinar e cooperativa. A segurança digital é um direito fundamental, e sua garantia no ambiente virtual é um dos grandes desafios da nossa era.

 

Esperamos que este panorama sobre o cibercrime tenha sido esclarecedor. Fiquem ligados no Direito For Juris para mais análises sobre os desafios jurídicos da era digital!

 

O termo "phishing" vem da palavra em inglês "fishing" (pescar), e a analogia é perfeita: os criminosos "lançam iscas" (e-mails, mensagens, sites falsos) esperando que as vítimas "mordam o anzol" e revelem informações confidenciais.

 

Em sua essência, o phishing é uma técnica de engenharia social onde o golpista se faz passar por uma entidade confiável – pode ser seu banco, uma empresa de e-commerce, um serviço de streaming, uma rede social, ou até mesmo um órgão do governo. O objetivo é induzir a vítima a fornecer dados sensíveis, como senhas, números de cartão de crédito, dados bancários, CPF, ou códigos de segurança.

 

Como funciona na prática?

 

Os métodos são variados e cada vez mais sofisticados:

 

  1. E-mails Falsos: Você recebe um e-mail que parece ser do seu banco, informando sobre uma suposta transação suspeita ou a necessidade de "atualizar seu cadastro" clicando em um link. Esse link, na verdade, te direciona para um site falso, idêntico ao original.

  2. SMS Fraudulentos (Smishing): Mensagens de texto que simulam avisos de entrega de encomendas, cobranças de dívidas ou ofertas imperdíveis, com links maliciosos.

  3. Mensagens de WhatsApp (Vishing/Golpe da Mão Branca): Contatos de números desconhecidos ou até mesmo "amigos" (com o perfil clonado), pedindo dinheiro emprestado ou informando sobre um problema urgente que exige um código de segurança.

  4. Sites Falsos: Páginas de login de bancos, lojas online ou serviços populares que são réplicas perfeitas das originais, criadas para capturar suas credenciais.

  5. Ligações Telefônicas (Vishing): Golpistas se passam por atendentes de bancos ou empresas, utilizando informações pessoais obtidas de forma ilícita para convencer a vítima a fornecer dados ou realizar alguma ação.

 

A chave do sucesso do phishing é a urgência e o medo que a mensagem busca incutir, aliada à aparência de legitimidade do remetente ou da página falsa.

 

O Fundamento Jurídico no Brasil: Phishing como Meio para o Crime:

 

No sistema jurídico brasileiro, o phishing, por si só, não é um crime tipificado de forma isolada. Ele é, na verdade, uma conduta-meio utilizada para a prática de outros crimes previstos em lei. Ou seja, o ato de pescar dados é a forma de enganar a vítima para que se consume o delito.

 

Os principais crimes que o phishing pode configurar ou aos quais ele está diretamente ligado são:

 

  1. Estelionato (Art. 171 do Código Penal): Este é o crime mais comum associado ao phishing. O estelionato é caracterizado por "obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento". O phishing se encaixa perfeitamente como o "meio fraudulento" que induz a vítima ao erro e resulta em prejuízo financeiro.

  2. Invasão de Dispositivo Informático (Art. 154-A do Código Penal - Lei Carolina Dieckmann - Lei nº 12.737/2012): Se o phishing resultar na obtenção de credenciais que permitam ao criminoso acessar o dispositivo informático da vítima (computador, celular) sem autorização, para obter, adulterar ou destruir dados, ou instalar vulnerabilidades, ele estará configurado.

  3. Falsidade Ideológica (Art. 299 do Código Penal): Criar um site ou perfil falso, que se passe por uma instituição legítima, pode configurar falsidade ideológica, que é o ato de "omitir, em documento público ou particular, declaração que dele devia constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da que devia ser escrita, com o fim de prejudicar direito, criar obrigação ou alterar a verdade sobre fato juridicamente relevante".

  4. Crimes Cibernéticos em Geral (Lei nº 12.737/2012): Dependendo da ação subsequente à obtenção dos dados, outros crimes cibernéticos previstos na Lei Carolina Dieckmann podem ser configurados, como a interrupção de serviço telemático, caso o ataque vise paralisar um sistema.

  5. Violação da Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018): A coleta indevida de dados pessoais, por meio do phishing, sem o consentimento do titular e para fins ilícitos, configura uma violação da LGPD, sujeitando o infrator a sanções administrativas (multas) aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), além das consequências civis e penais.

 

Jurisprudência Dominante: A Responsabilidade dos Bancos e Empresas

 

No Brasil, um dos pontos mais debatidos na jurisprudência sobre phishing e fraudes online diz respeito à responsabilidade das instituições financeiras e empresas.

 

O Superior Tribunal de Justiça (STJ) tem uma linha de entendimento consolidada, especialmente em casos envolvendo bancos e consumidores:

 

  • Súmula 479 do STJ: "As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias."

  • Aplicação do Código de Defesa do Consumidor (CDC): As relações entre bancos e clientes são de consumo, sujeitas ao CDC. O Art. 14 do CDC estabelece que o fornecedor de serviços responde independentemente da existência de culpa pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços.

 

O que isso significa na prática?

 

Se um consumidor é vítima de phishing e sofre um prejuízo financeiro (ex: transferência indevida, compra não autorizada), a instituição financeira pode ser responsabilizada civilmente pelo dano, mesmo que a fraude tenha sido cometida por terceiros.

 

O STJ entende que falhas na segurança do sistema bancário (como a ausência de alertas adequados, falhas em mecanismos de identificação ou autenticação, ou a vulnerabilidade de seus sistemas a ataques de phishing que permitem a clonagem de páginas e envio de mensagens enganosas) configuram um "fortuito interno", ou seja, um risco inerente à atividade bancária, não eximindo a instituição de responsabilidade.

 

Exemplo de Jurisprudência: 

 

O Tribunal de Justiça de São Paulo (TJSP) e outros tribunais estaduais têm reiteradamente condenado bancos a ressarcir valores a clientes vítimas de golpes de Pix, onde o estelionatário se vale de phishing ou engenharia social para obter o controle da conta ou a realização da transação pela própria vítima.

A fundamentação é que o risco de fraudes faz parte do "risco do negócio" do banco, que deve oferecer mecanismos de segurança robustos para evitar tais ocorrências.

 

Direito Internacional: Uma Batalha Global

 

O phishing é um crime sem fronteiras. Golpistas podem estar em um país, o servidor usado para o ataque em outro, e a vítima em um terceiro. Isso torna a cooperação internacional essencial.

 

  • Convenção de Budapeste sobre Cibercrime (2001): Embora não mencione "phishing" especificamente, a Convenção oferece um arcabouço legal para a criminalização de condutas como fraude informática (Art. 8), falsificação informática (Art. 7) e acesso ilegal (Art. 2), que são subjacentes aos ataques de phishing. Ela também estabelece regras para a cooperação transnacional em investigações cibernéticas e a assistência mútua. O Brasil é signatário da Convenção, mas sua plena ratificação ainda é um debate.

  • Organizações Internacionais: A Interpol e a Europol atuam na coordenação de investigações e na troca de informações entre os países para combater redes de cibercrime, muitas das quais operam esquemas de phishing em larga escala.

  • Mecanismos de Assistência Judiciária Mútua (MLATs): São acordos bilaterais ou multilaterais que permitem que um país solicite a outro auxílio na obtenção de provas, depoimentos ou outras informações necessárias para investigações criminais.

 

Desafios e Perspectivas para o Futuro:

 

Combater o phishing é um desafio constante para o Direito e para a sociedade:

 

  1. Dificuldade de Identificação e Persecução: A natureza anônima da internet, o uso de redes globais e a rápida evolução das técnicas dos criminosos dificultam a identificação e localização dos autores dos ataques.

  2. Educação e Conscientização: A primeira linha de defesa contra o phishing é a educação do usuário. Campanhas de conscientização e aprimoramento da literacia digital da população são cruciais para que as pessoas aprendam a identificar e evitar essas armadilhas.

  3. Responsabilidade das Plataformas: Cresce o debate sobre a responsabilidade das plataformas de internet (provedores de e-mail, redes sociais, empresas de telecomunicações) que, de alguma forma, são utilizadas para o envio e a disseminação de mensagens de phishing.

  4. Tecnologias Avançadas: O phishing está evoluindo com a IA. Já existem deepfakes de voz (vishing mais convincente) e textos gerados por IA que simulam a escrita humana com maior perfeição, tornando as "iscas" ainda mais difíceis de detectar.

  5. Legislação Específica? Embora a legislação existente já contemple o phishing como meio para crimes, há quem defenda a tipificação específica de condutas de engenharia social para fraudes digitais, o que poderia trazer maior clareza e facilitar a persecução penal.

  6. Medidas Preventivas: Bancos e empresas estão sob pressão para investir cada vez mais em tecnologias anti-phishing, autenticação multifator, e sistemas de alerta proativos para proteger seus clientes.

 

Em suma, o phishing é uma ameaça persistente que exige uma abordagem multifacetada: um arcabouço jurídico que se adapte, uma jurisprudência que defenda o consumidor, uma cooperação internacional robusta e, acima de tudo, uma população cada vez mais consciente e protegida.

 

Esperamos que este artigo tenha sido esclarecedor e ajude a todos a se protegerem melhor no ambiente digital. Fiquem ligados no Direito For Juris para mais análises sobre os desafios jurídicos da era digital!

 

 

Comentários

bottom of page