Nos últimos tempos temos assistido a um número crescente de ataques cibernéticos ao nível nacional e internacional. De organismos públicos a empresas privadas, nenhuma entidade está imune de sofrer um ciberataque. O Gabinete de Cibercrime da Procuradoria-Geral da República divulgou, inclusive, que as queixas por cibercrimes duplicaram em 2021, estimando-se que apenas 61% das entidades têm um plano contra os ciberataques.
A FORBES conversou com Miguel Miranda, Sócio e managing partner da PRA – Raposo, Sá Miranda e Associados para perceber os contornos legais de que se reveste a cibersegurança para as empresas e as implicações que podem incorrer, tendo presente a legislação recentemente aprovada.
As queixas por cibercrimes aumentam, mas a prática demonstra que são encontrados os seus responsáveis? Ou raramente, senão mesmo nunca, a atribuição dos danos cometidos fica sem penalização?
Miguel Miranda (MM): Temos efetivamente assistido a um aumento de participações criminais associadas ao cibercrime, de que são exemplos, a burla informática ou o ransomware, em resultado de um aumento significativo dessas práticas criminosas no nosso país e no mundo, dada a maior exposição e dependência digital das pessoas e empresas.
Se é certo que em muitas situações, sobretudo quando o nível de sofisticação tecnológico é elevado e a prática criminosa tem origem em países sem acordos de troca de informações com as entidades nacionais, os responsáveis ficam por identificar, a verdade é que temos assistido também a um crescimento da capacidade das entidades investigadoras para identificar e levar a julgamento os autores de cibercrimes.
Neste domínio, as dificuldades com que se depara a investigação situam-se, sobretudo, a nível tecnológico (por exemplo, a utilização de proxys, VPN’s ou meios de comunicação encriptados, como sejam os canais pier to pier) e a nível da pluralidade de jurisdições envolvidas, dada a natureza transnacional de grande parte destas práticas ilícitas.
Uma empresa que seja vítima de um cibercrime deve comunicar o sucedido a que entidade, no caso português?
MM: As empresas que sejam lesadas por este tipo de práticas devem participar criminalmente das mesmas aos órgãos de polícia criminal, seguindo-se os demais trâmites do processo penal perante as autoridades judiciárias (Ministério Público e Tribunais Judiciais).
Em determinadas situações, em que a intrusão nos sistemas informáticos da empresa permitiu a extração ilícita de dados pessoais, poderá haver necessidade de reportar o evento, num prazo máximo de 72 horas, à Comissão Nacional de Proteção de Dados (CNPD).
Existem, ainda, casos concretos, que podem implicar a notificação a outras entidades, tais como a Autoridade Nacional de Emergência e Proteção Civil (ANEPC), Autoridade Nacional de Comunicações (ANACOM), o Centro Nacional de Cibersegurança (CNCS), entre outras, nos termos das disposições legais e regulamentares aplicáveis.
“Quando a intrusão nos sistemas informáticos da empresa permitiu a extração ilícita de dados pessoais, poderá haver necessidade de reportar o evento, num prazo máximo de 72 horas, à Comissão Nacional de Proteção de Dados”.
No quadro institucional português e tendo em conta os cibercrimes, que papel têm a Autoridade Reguladora Nacional, a Unidade Nacional de Combate ao Cibercrime, o Centro Nacional de Cibersegurança e a Polícia judiciária?
MM: O Centro Nacional de Cibersegurança é a Autoridade Nacional de Cibersegurança e funciona como ponto de contacto único nacional para efeitos de cooperação internacional nos assuntos de Cibersegurança. Exerce as funções de regulação, regulamentação, supervisão, fiscalização e sancionatórias nos termos das suas competências. Além disso, tem o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança. Por fim, atua em articulação estreita com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo.
Por sua vez, a Unidade Nacional de Combate ao Cibercrime é uma unidade especializada da Polícia Judiciária que tem competências nas áreas da prevenção e investigação da cibercriminalidade.
À luz da lei, quem pode ser responsabilizado, num ataque cibernético?
MM: Quem pode ser responsabilizado, em primeira linha, por um ataque cibernético são o autor ou os autores desse ataque.
No plano da responsabilização criminal, o âmbito subjetivo e objetivo da responsabilização dependerá do concreto crime em causa (se é um crime cibernético stricto sensu ou um crime praticado por meio informático, por exemplo) e do tipo de ação em causa (autoria, instigação, cumplicidade, entre outras).
Há, porém, formas de responsabilização diferidas, decorrentes do necessário cumprimento de outras obrigações legais. Pense-se, por exemplo, no dever de diligência e identificação que impende sobre as entidades financeiras à luz do regime legal da prevenção do branqueamento de capitais ou nos deveres impostos às entidades que recolhem e tratam dados pessoais, e que podem determinar a responsabilidade até das entidades vítimas de um ataque cibernético por violação das regras de segurança que deviam estar implementadas.
“Há formas de responsabilização diferidas, decorrentes do necessário cumprimento de outras obrigações legais”
Quando uma empresa é alvo de um ataque cibernético, além de vítima, pode, igualmente, tornar-se responsável por não ter adotado as medidas necessárias para impedir esse cibercrime?
MM: Pode, de facto. Em determinadas situações, em que existe violação por parte das “vítimas” do ataque cibernético de obrigações legais e regras de segurança que foram a causa da fragilidade informática que permitiu o ciberataque, as vítimas podem efetivamente vir a ser responsabilizadas.
Especialmente do ponto de vista contraordenacional, importa sublinhar o recentemente publicado Decreto-Lei 65/2021, de 30 de julho, que veio regulamentar o Regime Jurídico de Segurança do Ciberespaço, e onde se prevê um nível sancionatório, dirigido à inobservância de regras sobre a seguranças das redes e sistemas de informação, sobre as obrigações de comunicação de incidentes e sobre a certificação de programas informáticos, por exemplo, firewalls e anti-spyware.
Assim, se por exemplo, se o ataque a uma empresa envolver dados pessoais, o RGPD (Regulamento Geral sobre a Proteção de Dados) e a lei nacional de execução responsabilizam as empresas caso estas não cumpram com as medidas técnicas e organizativas legalmente necessárias. O grau de responsabilidade irá variar em função de diversos critérios e do tipo de dados pessoais violados.
Caso o ataque não envolva dados pessoais, a empresa poder-se-á tornar responsável caso não tenha implementado ou não cumpra medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam.
“Se o ataque a uma empresa envolver dados pessoais, o RGPD e a lei nacional de execução responsabilizam as empresas caso estas não cumpram com as medidas legalmente necessárias”
Em que circunstâncias pode uma empresa passar de vítima a responsável? Isso está tipificado na lei?
MM: Não se pode afirmar que haja propriamente uma tipificação dessa mudança.
Com efeito, existe um quadro legal que contempla uma série de obrigações relativas à segurança informática e à adoção de medidas técnicas e organizativas para a segurança das redes, pelo que, o incumprimento das mesmas e/ou a sua não adoção poderá levar à responsabilização daquelas, nomeadamente, como referimos, a nível contraordenacional.
Cada vez que uma empresa sofre um ciberataque, a empresa lesada deve proceder ao imediato levantamento técnico da ocorrência e a uma avaliação do risco jurídico, à luz da legislação em vigor, para daí extrair as potenciais consequências do ataque, cumprir as obrigações de notificação a que possa estar sujeita e identificar o risco de poder vir a ser penalizada, não obstante ter sido vítima.
“Cada vez que uma empresa sofre um ciberataque, a empresa lesada deve proceder ao imediato levantamento técnico da ocorrência e a uma avaliação do risco jurídico”
Que entidades e organizações estão, em termos legais, obrigadas a ter planos de segurança contra ciberataques?
MM: A lei indica expressamente as entidades que são obrigadas a manter planos de segurança contra ciberataques.
São elas: a administração pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais, os prestadores de serviços digitais e quaisquer outras entidades que utilizem redes e sistemas de informação.
A lei sanciona não apenas quem não tomou medidas suficientes para prevenir ataques, como também para os mitigar. Os valores das coimas tanto para uma situação, como para outra, são iguais?
MM: O valor das coimas é similar para ambas as situações porque, na verdade, quer num caso, quer no outro, estamos perante a adoção de medidas incorretas ou insuficientes.
O regime jurídico do ciberespaço estabelece como contraordenações muito graves o incumprimento da obrigação, por parte da Administração Pública e os operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais, da implementação de requisitos de segurança.
O incumprimento de instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança, poderão ser punidas com coimas de €5000 a €25 000, tratando-se de uma pessoa singular, e de €10 000 a €50 000, no caso de se tratar de uma pessoa coletiva.
Já o incumprimento da obrigação, por parte daquelas entidades de notificar o Centro Nacional de Cibersegurança dos incidentes com impacto substancial ou relevante na segurança das redes e dos sistemas de informação e ou serviços prestados é sancionada com uma contraordenação grave, com coimas de €1000 a €3000, tratando-se de uma pessoa singular, e de €3000 a €9000, no caso de se tratar de uma pessoa coletiva.
Perante uma devassa de dados pessoais na posse de uma organização, em virtude de ter sido atacada informaticamente, essa organização sofre penalizações duras. Nesse cenário, a sanção provém do Regulamento Geral sobre a Proteção de Dados?
MM: Efetivamente existem sanções previstas no RGPD para as situações em que as empresas não cumpriram com as medidas técnicas e organizativas previstas no art. 32º do RGPD. Nesse caso, estaremos perante um contraordenação grave, prevista e punida pelo art. 83º nº 4 al. a) do RGPD.
Caso estejamos a falar das entidades a que se aplica o Regime Jurídico de Segurança do Ciberespaço, prevêem-se adicionalmente sanções contraordenacionais para o incumprimento da obrigação de implementar requisitos de segurança, bem como de adotar instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança.
Como é que as empresas e organizações se devem preparar para lidar com os hackers, garantindo a segurança dos dados dos seus clientes e utilizadores, presentes nas suas bases de dados?
MM: O conceito de hacker, na sua origem, é benigno, tendo surgido com os denominados “White Hackers”. Os “Grey” e os “Black Hackers” é que poderão ser motivo de preocupação.
O Quadro Nacional de Referência para a Cibersegurança (QNRCS) permite às organizações reduzir o risco associado às ciberameaças, disponibilizando as bases para que qualquer entidade possa cumprir os requisitos mínimos de segurança das redes e sistemas de informação.
Por sua vez, o Centro Nacional de Cibersegurança emitiu um roteiro para as capacidades mínimas de cibersegurança.
“A adoção de boas práticas, a regular avaliação do risco cibernético, o apoio jurídico especializado preventivo e os seguros contra riscos cibernéticos são mecanismos que podem ajudar a reduzir os riscos”.
Ora, para além das recomendações provenientes do CNCS e do QNRCS, as empresas devem observar o quadro legal existente e estar atentas às permanentes e rápidas atualizações que existem nessa matéria, adotando comportamentos preventivos, formando os seus colaboradores e estando permanentemente vigilantes relativamente aos seus sistemas, redes e programas. A adoção de boas práticas, a regular avaliação do risco cibernético, o apoio jurídico especializado preventivo e os seguros contra riscos cibernéticos são mecanismos que podem ajudar a reduzir os riscos. Mas, note-se, é apenas de “reduzir” riscos que estamos a falar, dado que, no estado atual da arte, eliminar por completo o risco de ataque cibernético é ainda uma miragem.