Imagine o leitor que está calmamente em casa ou no seu local de trabalho e que recebe uma mensagem escrita do seu banco a informá-lo que alguém está a tentar aceder à sua conta bancária. A mensagem vem do mesmo destinatário através do qual costuma receber avisos da sua conta (como o pagamento de uma prestação ou de um débito direto) ou códigos de segurança quando usa o homebanking.
Ainda não refeito do conteúdo da mensagem, recebe uma chamada telefónica de uma pessoa que se identifica como sendo do seu banco e que lhe refere a mesma ameaça, comunicando estar a telefonar-lhe para gerir o problema consigo para evitar prejuízos. Não é o seu gestor de conta (nem toda a gente os tem) mas o número no visor é o que já conhece e tem gravado no seu telefone para quando precisa de tratar de algum assunto.
Ainda que com alguma reserva, vai dando alguns dados que lhe são pedidos, e até vai ganhando alguma confiança porque o seu interlocutor parece saber do que está a falar. Para alegadamente resolver o problema, chega um momento em que o funcionário lhe pede códigos do seu cartão matriz. Nesse momento, recorda o que lhe foi dito quando lho entregaram – basicamente, que NUNCA deveria dar esses códigos a ninguém. E decide desligar a chamada e contatar, por sua iniciativa, o seu banco/gestor de conta, através dos telefones oficiais.
Sem sombra de surpresa, ouve o seu gestor de conta/funcionário do banco comunicar-lhe que quase foi alvo de um crime: desta vez – e porque o criminoso não conseguiu completar a ação sem os códigos do cartão matriz – nada aconteceu mas o perigo é cada vez maior. Perante a sua perplexidade, é-lhe comunicado que os hackers deste tipo estão tão avançados que já conseguem ‘mascarar’ os números telefónicos de onde emitem sms e chamadas telefónicas para aparecerem como se dos canais oficiais se tratasse e são sofisticados ao ponto de, na interação consigo, deixarem poucas dúvidas de que são mesmo bancários.
Esta situação tem acontecido nas últimas semanas e é apenas um exemplo da cibercriminalidade sofisticada com que já temos de lidar no presente e que aumentará no futuro. Em jeito de ‘ponto de situação’ da Cibercriminalidade em Portugal, a 5ª edição do relatório “Cibersegurança em Portugal – Riscos & Conflitos – 5ª Edição” do Centro Nacional de Cibersegurança (CNCS), editado em julho de 2024, refere que a cibercriminalidade em Portugal (2023-2024) tem mostrado um crescimento significativo (ver quadro).
Este é um tema cada vez na ordem do dia, até porque Portugal vai ter um novo quadro jurídico para a cibersegurança, com a adoção da diretiva europeia NIS 2, que pretende garantir um elevado nível comum de cibersegurança em toda a União Europeia (UE). A proposta de lei de autorização legislativa para aprovação do novo Regime Jurídico da Cibersegurança (que transpõe a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro) vem garantir um elevado nível comum de cibersegurança em toda a União Europeia e esteve em consulta pública até 31 de dezembro.
A Diretiva NIS 2 impõe novos padrões e obrigações a uma vasta gama de setores essenciais e importantes, incluindo a gestão mais rigorosa de riscos de cibersegurança, a necessidade de coordenação entre entidades públicas e privadas, e uma supervisão mais abrangente. O novo regime jurídico vai criar uma Comissão de Avaliação de Segurança do Ciberespaço, aumentar o número de setores, empresas e entidades públicas fiscalizadas e agravar o quadro sancionatório para quem não cumprir as novas regras. A este propósito, pode fazer, nesta edição, uma leitura guiada do documento aqui, onde o Advogado Luís Nuno Perdigão, especialista e formador nesta área, explica os pontos-chave do documento.
Papel do Advogado e da Advocacia
Historicamente, os assuntos relacionados com a segurança do sistema (prevenção, coordenação, reação) eram da responsabilidade quase exclusiva dos departamentos de TI (tecnologias de informação), enquanto os departamentos jurídicos costumavam ter – quando tinham – uma presença testemunhal ou de mero suporte.
No entanto, vivemos hoje numa época em que as ameaças cibernéticas estão a aumentar em número e complexidade, o que está a fazer com que as organizações sejam obrigadas a gerir um grande número de riscos informáticos enquanto continuam a lidar com imensas quantidades de informação confidencial e sensível. A transversalidade dos riscos cibernéticos aliada às atuais alterações legislativas obriga, com cada vez mais intensidade, a uma intervenção da área jurídica.
Ou seja, também os Advogados têm de estar aptos a representar e defender os seus clientes no âmbito de processos por crimes informáticos, bem como a lidar eles próprios com esse tipo de riscos na sua prática. O papel do profissional jurídico nesta matéria também tem um duplo aspeto:
- Autorresponsabilidade, no qual ele deve implementar para si mesmo medidas de segurança suficientes para proteger adequadamente o seu trabalho e, em particular, as informações que ele possui
- Formação, fortalecendo as capacidades, recursos e o nível de conhecimento necessários para a melhor aplicação do quadro jurídico e técnico associado.
Neste âmbito, o Conselho Regional de Lisboa da Ordem dos Advogados (CRLisboa) tem feito uma aposta forte em conteúdos de formação e apoio ao trabalho dos colegas, que pode consultar aqui.
* Referência ao título do livro do autor Aldous Huxley, publicado em 1932
|
Relatório Cibersegurança em Portugal – Riscos & Conflitos – 5ª Edição Julho 2024 – Centro Nacional de Cibersegurança |
|
· As principais ciberameaças – aquelas que se mostraram mais relevantes no período em análise – foram o ransomware (ataques que encriptam dados e exigem resgates financeiros), o phishing e smishing (fraudes por email e SMS, muitas vezes usando identidade falsa – spoofing), a engenharia social (manipulação psicológica para roubo de credenciais e dados bancários), as burlas online (golpes no comércio eletrónico e fraudes com cartões bancários) e o comprometimento de contas (roubo de acessos a plataformas digitais, possibilitando ataques futuros). Em todas, o fator humano continua a ser o ponto frágil, pois os ataques com base no erro humano, como phishing e engenharia social, são altamente eficazes. · Em termos de tendências e novas ameaças, parece haver mais ataques direcionados para a Administração Pública (municípios e instituições governamentais foram alvos frequentes de ransomware, causando interrupção de serviços), maior sofisticação nos ataques (técnicas como spoofing, vishing e CEO Fraud tornam-se mais comuns), aumento do uso de criptomoedas e da Dark Web pelos cibercriminosos para esconder as transações ilícitas e regista-se, também, um maior impacto da Inteligência Artificial Generativa, usada para desinformação, deep fakes e automatização de ataques. · Já quanto aos alvos deste tipo de crimes, as vítimas mais afetadas são os indivíduos e as PME (Pequenas e Médias Empresas (alvos fáceis para phishing, smishing e burlas online), a Administração Pública Local (ataques de ransomware a municípios e serviços essenciais) e setores críticos (como a Banca, a Saúde e o Ensino Superior). Já os principais agentes e grupos envolvidos em ciberataques são cibercriminosos comuns- com motivações financeiras, ataques organizados e ransomware, atores estatais – mais interessados em ciberespionagem e ataques geopolíticos, por exemplo, ligados à guerra na Ucrânia ou no Médio Oriente e os chamados hacktivistas – orientados para ataques ideológicos, como disseminação de desinformação ou negação de serviço distribuída (DDoS). · Em números, a criminalidade informática registada cifrou-se em 2.512 crimes informáticos reportados à polícia em 2023 (aumento de 13% em relação a 2022), 20.159 casos de burla informática e comunicações (queda de 4%, mas ainda o crime mais comum) e 409 violações de dados pessoais notificadas à CNPD (aumento de 11%). · A cibercriminalidade em Portugal continua a crescer, impulsionada pelo avanço tecnológico e pela sofisticação dos atacantes. O ransomware e as fraudes online são os maiores desafios, afetando indivíduos, empresas e o setor público. A resposta deve incluir investimento em cibersegurança (implementação de autenticação multifator (MFA) e proteção contra phishing), educação digital (empresas e cidadãos devem adotar práticas seguras), monitorização ativa (acompanhar as tendências de ataques e atualizar sistemas de segurança) e cooperação global (pública e privada) para minimizar riscos (maior cooperação entre entidades nacionais e internacionais). |
