“Portugal pode estar a servir de campo de treino” para grupos internacionais de piratas informáticos. A convicção é de Gustavo Leitão Cardoso, professor catedrático no Instituto Superior de Ciências do Trabalho e da Empresa – Instituto Universitário de Lisboa (ISCTE-IUL), diretor do Observatório da Comunicação (OberCom) e coordenador do MediaLab do ISCTE, que, à VISÃO, explica que “esta é a forma como estes grupos se dão a conhecer no mercado internacional de hackers”, com vista a serem recrutados para realizarem ações noutros Países e em grande escala. “Portugal é um País periférico que permite aos piratas informáticos, por um lado, experimentar estes ataques e, por outro, mostrar ao mercado do cibercrime e ao mundo aquilo de que são capazes” completa.
A tentativa de ataque, na última madrugada, à Trust in News, empresa detentora da VISÃO e de outras 14 marcas de informação, foi apenas o mais recente episódio de uma vaga de “invasões” a entidades e empresas que se começaram a fazer notar, logo no início do ano, com o ataque do “Lapsus Group” aos sites do grupo Impresa. Seguiram-se as plataformas da Assembleia da República (ataque também reinvindicado pelo “Lapsus Group”), da Cofina e, mais recentemente, da Vodafone, todos já a serem investigados pela Polícia Judiciária e pelo Centro Nacional de Cibersegurança.
Mas porquê estes alvos? Gustavo Leitão Cardoso não tem dúvidas: “Pelo mediatismo”. “A explicação é muito simples e, talvez, a resposta para muitas das coisas que têm acontecido recentemente. É a tentativa de celebrização destes grupos, a forma de se tornarem notícia. Ataques ao Parlamento ou a ministérios podem servir para treinar, mas nunca têm a amplitude ou o reconhecimento público que têm e tiveram os ataques a órgãos de comunicação social, como à Impresa, e, hoje, à Trust In News”, garante.
“Um ataque a um órgão de comunicação social é notícia”, sublinha.
“Os ataques informáticos são como os tremores de terra: há os que sentimos e os que não sentimos”, diz Gustavo Leitão Cardoso
Segundo os dados mais recentes do Gabinete de Cibercrime da Procuradoria-Geral da República (PGR), as denúncias de cibercrimes duplicaram em 2021, chegando às 1.160, mais do dobro do que no ano anterior (544). O Portal da Queixa registou a mesma tendência crescente através das reclamações recebidas na sua plataforma.
Dados que, para Gustavo Leitão Cardoso, podem não significar exatamente um aumento real do número de ataques informáticos em Portugal. “Não sabemos se os ataques têm vindo a aumentar. Sabemos, isso sim, é que nos últimos dois anos, em contexto de pandemia, temos estado mais dependentes das redes e, por isso, mais atentos a este fenómeno”, diz.
O professor catedrático desvaloriza os dados oficiais e vai ainda mais longe: esclarecendo que, para já, não é sequer possível contabilizar com precisão o número de casos que verdadeiramente ocorrem; e que estes podem ser muito mais comuns do que se pensa. “Estamos a falar de uma coisa sobre a qual, na maior parte das vezes, nem sequer existem dados. O que sabemos é que os ataques informáticos fazem, há muito, parte do nosso quotidiano. Por exemplo, há ataques à banca, um setor que vive da confiança das pessoas, e que, por isso, como qualquer assalto, não precisa de publicidade das próprias vítimas. Os ataques informáticos são como os tremores de terra: há aqueles que sentimos e os outros que não sentimos”, afirma.
O mais difícil? “Identificar o autor ou autores do crime”, explica David Silva Ramalho
A prevenção é mais do que essencial no combate ao cibercrime. Para as entidades da Administração Pública ou consideradas essenciais é mesmo obrigatório – caso estas não tenham planos de segurança contra ciberataques e não tomem as medidas suficientes para os prevenir e mitigar a lei prevê multas pesadas, que podem chegar aos 50 mil euros, como lembra o Diário de Notícias, na sua edição de hoje.
“Todas estas entidades, do setor da energia, água, comunicações, transportes, públicas e privadas, estão obrigadas a reportar ao Centro Nacional de Cibersegurança (CNCS) todos os riscos e incidentes ao mínimo detalhe, sob pena de sofrerem sanções”, diz a lei. Pode isto significar que a Vodafone, a vítima, que sofreu um ataque informático que afetou mais de quatro milhões de clientes, pode, no fim de contas, tornar-se ré?
O advogado David Silva Ramalho, especialista em temas como cibercrime, prova digital, direito e processo penal e proteção de dados, considera “este cenário muito pouco provável”. “Uma infração só pode ser imputada a uma pessoa coletiva ou singular se for dolosa ou negligente. Há coisas que acontecem, simplesmente. A empresa terá responsabilidade se, podendo ter tomado medidas razoáveis e adequadas, estas não tenham sido tomadas. A imputação de uma contra-ordenação depende sempre da exigência desse dever de cuidado, e era preciso que a entidade ou empresa não tivesse mecanismos de segurança adequados à sua realidade”, refere.
Quanto à punição dos hackers, a questão que se levanta é outra. A lei já dá respostas, mas o problema passa pela identificação dos criminosos e respetiva recolha de provas. “O cibercrime é uma realidade transnacional. Os mecanismos que existem, hoje, em Portugal, para identificar os autores do crime, para recolher prova e para combater o cibercrime são os mecanismos que existem na generalidade dos países, porque resultam da adaptação do nosso direito interno à Convenção de Budapeste, subscrita por cerca de 60 países”, explica.
“O problema não está tanto na lei, mas no facto de as questões relacionadas com o crime serem dificilmente detetáveis”, sublinha. “O ponto principal e mais difícil é identificar o autor ou autores; depois, é preciso tentar de fazer prova, que, normalmente, está dispersa pelo mundo; e, para concluir, tendo estas duas questões resolvidas, pedir a extradição ao País onde esse autor ou autores se encontram”, descreve. Impossível? “Não, mas extremamente difícil”, conclui David Silva Ramalho.