PJ defende que precisa de metadados para investigar cibercrime
A Polícia Judiciária defendeu hoje a necessidade de investigar dados de tráfego e comunicações armazenados pelas operadoras, o que considera estar posto em causa com uma decisão do Tribunal Constitucional.
Num seminário sobre cibersegurança organizado pela PJ e por uma operadora de telecomunicações, o diretor nacional, Luís Neves afirmou que a prevenção de cibercrime passa essencialmente pela prevenção, assente numa "recolha sólida e incontestável de informações técnicas baseadas em indícios digitais, incluindo os metadados, os famosos metadados hoje colocados em causa por uma decisão do Tribunal Constitucional".
O acórdão dos juízes, divulgado a 27 de abril, declarou inconstitucionais as normas da chamada "lei dos metadados" que determinam a conservação dos dados de tráfego e localização das comunicações pelo período de um ano, visando a sua eventual utilização na investigação criminal.
O TC considerou que, ao não se prever que o armazenamento desses dados ocorra num Estado-membro da União Europeia, "põe-se em causa o direito de o visado controlar e auditar o tratamento dos dados a seu respeito" e a "efetividade da garantia constitucional de fiscalização por uma autoridade administrativa independente".
Luís Neves salientou que o tratamento de metadados para investigação terá que acontecer "de acordo com princípios gerais de ordenamento jurídico e boas práticas forenses digitais".
O diretor da Unidade Nacional de Combate ao Cibercrime e Criminalidade Tecnológica, Carlos Cabreiro, disse aos jornalistas à margem da conferência que para investigar os crimes, a polícia precisa de "informação, seja proveniente dos operadores, para investigação, seja dos dados que possam ser recolhidos no âmbito de uma investigação".
"É essa a essência da criminalidade informática e praticada com meios informáticos. Muitas vezes, temos uma peça única para provar factos, estamos a falar de dados que são essenciais para a perseguição penal", acrescentou.
O cibercrime tem crescido ao mesmo ritmo que o uso da tecnologia, indicou Carlos Cabreiro, indicando que entre 2020 e 2022, os inquéritos abertos na área de Lisboa aumentaram 50 por cento, atingindo 4500 processos pendentes no fim de 2021.
A nível nacional, o número de inquéritos relacionados com cibercrime estará entre 20 mil e 22 mil.
Referindo-se a ataques recentes em Portugal, como os que afetaram uma operadora de telecomunicações, um grupo de imprensa e um hospital, indicou que "já há dados sobre autoria".
"Não estamos a falar de um, dois ou três autores, podemos estar a falar de vários que cometeram vários ataques", indicou, acrescentando que "existem dois ou três casos com algum padrão".
O diretor da UNC3T adiantou que se pode concluir, pela reivindicação dos autores do ataque, que se trata "do mesmo grupo, embora lato e difuso", de que já foram constituídos alguns arguidos.
A juíza de instrução criminal Cláudia Pina destacou que o crime cibernético organizado tem "famílias" que controlam redes vastas de pessoas, desde colaboradores que desempenham uma função muito específica nas operações de ataque informático até assalariados numa hierarquia que percorre 'sites' de emprego à procura de currículos que valha a pena aliciar e mobilizar para ataques concertados que podem "paralisar uma organização inteira".
"Nos casos graves, não são só rapazes 'nerds' pacatos na cave da mãe" envolvidos no assalto aos sistemas, muitas vezes disfarçados do que se chama ataques de "ransomware", frisou.
As redes criminosas preparam ataques mais complexos fazendo "intrusões anteriores". Ao atacar instalam nos sistemas atacados programas que lhes permitem "prender" os registos armazenados por trás de encriptação e impedir o acesso até receberem um "resgate".
Enquanto isso, são senhores de todos os dados que "raptaram" e podem destruir irreparavelmente os sistemas.
Para as vítimas, as perdas podem ser sobretudo económicas, mas "pode morrer gente e, infelizmente, já morreu", afirmou Cláudia Pina, citando o ataque à universidade alemã de Dusseldorf, em 2020, que impediu o hospital universitário de receber pessoas nas urgências.
Uma mulher de 78 anos com um problema cardíaco grave foi obrigada a uma viagem de uma hora para ir para outro hospital e acabou por morrer.
A ausência de queixa tem muitas vezes a ver com as consequências para a reputação das vítimas, quer se trate de uma pessoa que "não quer colaborar" com as autoridades por ter sido exposto "algo muito íntimo seu", quer no caso de empresas ou grupos económicos, para quem "é vergonhoso em termos de reputação empresarial admitir um ciberataque", acrescentou.
Por isso, defendeu que é preciso "facilitar a denúncia", incluindo nos formulários de queixa nas autoridades a possibilidade de denunciar crimes informáticos, mesmo que anonimamente.