E aqui chegamos à parte mais propriamente jurídica desta minha descoberta da Tecnologia Bluetooth e dos perigos que enfrentam os dispositivos que a possuem.
Uma vez explicado o funcionamento do dispositivo, os protocolos utilizados, e tendo analisado quais são no campo os perigos a que está sujeito o indivíduo que utiliza tal sistema de conexão sem fios, resta apenas tentar demonstrar a tese segundo a qual um smartphone, um PDA, um portátil e até um auricular BT são seguramente enquadráveis como sistema informático e devem, por isso, submeter-se às normas sobre o acesso abusivo a um sistema informático, em particular ao art. 615 ter do nosso Código Penal. Uma vez demonstrado isso, o segundo objetivo será o enquadramento de eventuais ações lesivas ou de qualquer forma dirigidas a tais dispositivos (desde o simples Toothing praticado hoje até mesmo por leigos em tecnologia, até aos ataques Snarf e Backdoor levados a cabo por crackers “autodidatas” com a cumplicidade das informações facilmente disponíveis na internet). O primeiro ponto a analisar é, portanto, a configurabilidade dos dispositivos Bluetooth como Sistemas Informáticos, e sua subordinação à disciplina introduzida pela Lei 23 de Dezembro de 1993 n. 547 com a inserção do art. 615 ter no nosso Código Penal, que contém normas relativas ao acesso abusivo a um sistema informático ou telemático, bem como as normas que regulam eventuais invasões cometidas após o acesso abusivo. A norma em questão diz: “Quem quer que abusivamente se introduza num sistema informático ou telemático protegido por medidas de segurança ou aí se mantenha contra a vontade expressa ou tácita de quem tem direito a excluí-lo, é punido com reclusão até 3 anos.” Mas podemos considerar um dispositivo que utiliza a tecnologia Bluetooth como um sistema informático? Certamente sim! De fato, já há algum tempo é opinião consolidada que um sistema informático não é apenas um eventual Personal Computer ou um banco de dados, mas “qualquer pluralidade de equipamentos destinados a realizar qualquer função útil ao homem através da utilização, mesmo que parcial, de tecnologias informáticas”. A este respeito, é possível consultar a Sentença da Corte de Cassação n. 3067 de 1999, que no caso específico prévia a configurabilidade como sistema informático até mesmo de uma simples central telefônica. Esclarecida a primeira dúvida relativa à aplicabilidade do art. 615 ter aos dispositivos equipados com tecnologia Bluetooth, resta analisar qual a configurabilidade como delito das ações e ataques analisados na anterior seção técnica. Partindo do simples Toothing, que vimos ser o envio de um Cartão de Visita (ou cartão profissional) de um smartphone para outro através da conectividade Bluetooth, é quase certo que não se configura como crime de acesso abusivo informático, pois esta prática não permite acesso ao dispositivo do outro: são apenas os 248 caracteres possíveis (o cartão de visita, precisamente) que chegam ao destino, sem um verdadeiro acesso ao sistema informático alheio, portanto sem a possibilidade de manipular, subtrair ou modificar os dados contidos no celular do receptor. Naturalmente, é necessário estar alerta, pois, como vimos para o Bluejacking avançado, também esta simples troca de cartões de visita pode ser um método para convencer a vítima a consentir uma conexão “trusted” e consequentemente um acesso abusivo posterior. Quanto às técnicas de Bluesnarfing e Phone Backdoor, vimos como elas permitem ao atacante um acesso irrestrito ao interior do dispositivo da vítima, através do protocolo de pareamento e do estabelecimento de uma conexão “trusted” que permite ao cracker não apenas penetrar no sistema, mas também ter plenos poderes sobre os dados nele contidos. Talvez se pudesse objetar (por parte de uma hipotética defesa do atacante) a ausência de medidas de segurança destinadas a proteger o sistema informático contra tais intrusões. A respeito, certamente valem as seguintes considerações: Em primeiro lugar, técnicas de “sniffing” e ataques “bruteforce” como os levados a cabo pelos softwares que facilmente encontrei na WEB são certamente dirigidos e finalizados a vencer ou contornar tais medidas de segurança (senhas e PINs). Em segundo lugar, é opinião já consolidada da jurisprudência que “a violação de dispositivos de segurança não assume relevância em si, mas como manifestação da vontade contrária de um sujeito”, conforme pronunciado pela Corte de Cassação na Sentença n. 12.732 de 2000, na qual a Corte acrescentou ainda, em matéria de acesso abusivo a sistema informático, que “o ilícito é a contravenção às disposições do titular, como acontece na violação de domicílio.”. Quanto à vontade do titular, a própria norma legal especifica que ela não precisa ser necessariamente explícita, podendo ser também tácita. E é indubitável a vontade, ainda que tácita, de quem quer que possua um dispositivo Bluetooth, de que ninguém, sem permissão prévia, viole o chamado “domicílio informático”. Por fim, quanto aos fins de um hipotético acesso abusivo a um dispositivo equipado com Bluetooth, vimos que o ataque de um cracker pode permitir não apenas todos os dados presentes no smartphone, mas também a possibilidade de usar o celular como zombie para navegar, chamar ou clonar outros dispositivos pelo código IMEI, tudo às custas da vítima do acesso abusivo. No caso de as ações subsequentes ao acesso abusivo informático violarem outras disposições legais contidas no nosso Código Civil, nada impede que essas normas concorram com a violação do art. 615 ter na consumação do crime, e que o acesso abusivo seja elemento constitutivo de um crime mais grave.
Pubblicato in Ferramentas digitais
Seja o primeiro a comentar