Neste subcapítulo iremos analisar os ciberataques ocorridos na Estónia à luz do ordenamento jurídico português, os quais utilizaram os já referidos métodos de ataque: negação de serviço (DoS e DDoS); ataques de configuração de sites (website defacement); ataques a servidores de sistemas de nome do domínio; e envio massivo de mensagens de correio malicioso (spam).
273 SANTOS, Lino – Contributos para uma melhor governação da cibersegurança em Portugal. Lisboa: Faculdade de Direito da Universidade Nova de Lisboa, 2011. Dissertação de Mestrado.
274 WIRED – Hackers Take Down the Most Wired Country in Europe. [Consult. 30 Jun. 2016]. Disponí- vel em WWW:<URL: http://www.wired.com/2007/08/ff-estonia.
A Aplicação do Uso da Força no Ciberespaço
55
1.2.2.1. Ataques DoS e DDoS
Um ataque de DDoS275 tem como objetivo perturbar o sistema informático, através de entrave, impedimento, interrupção ou perturbação grave de um sistema informático, por qualquer forma de interferência nesse sistema. Este ataque enquadra-se no crime de sabo- tagem informática, previsto e punido pelo art.º 5.º da Lei do Cibercrime276 (LC). A pena de prisão poderá ser de 1 a 10 anos na eventualidade de os sistemas afetados darem apoio a uma atividade destinada a assegurar funções críticas essenciais.
Caso estejamos perante um ataque DDoS de grandes dimensões, tal como se verifi- cou na Estónia, e considerando a dimensão do ataque, pode colocar-se a possibilidade de se verificar um concurso aparente ou real com o crime de sabotagem previsto no art.º 329.º do Código Penal (CP). Tal terá como fundamento, o facto destes ataques terem resultado na impossibilidade do funcionamento ou desvio dos seus fins normais, de forma definitiva ou temporária, total ou parcialmente, de instalações de serviços públicos ou destinadas ao abastecimento e satisfação de necessidades vitais da população, infraestruturas de relevante valor para a economia, a segurança ou a defesa nacional, com intenção de destruir, alterar ou subverter o Estado de Direito constitucionalmente estabelecido.
Na eventualidade de estarmos perante o crime de sabotagem previsto no CP, estamos perante um crime público, pelo que a denúncia é obrigatória para as entidades policiais e para os funcionários277, nos termos do art.º 242.º do Código de Processo Penal (CPP).
Esta denúncia, na forma de participação, é aconselhada sobretudo para possibilitar que a autoridade judiciária inicie, o mais breve possível, as diligências necessárias para obter, regra geral, junto dos prestadores de serviços de comunicações eletrónicas os ende- reços IP e eventualmente outros dados necessários para identificar os autores dos crimes. Para tais ações é fundamental atuar com o máximo de celeridade possível, procurando assegurar que os prestadores de serviços (ou outras entidades relevantes) ainda estejam na posse desses dados, a fim de cumprir os pressupostos para a preservação dos dados.
Com efeito, o procedimento a adotar nestes casos é a apresentação de uma participa- ção criminal junto do Ministério Público (MP)278, a fim de permitir as já referidas diligên-
275 Segundo a CERT, estes ataques são “caraterizados por solicitações em massa direcionados para um site ou servidor, fazendo com que ele não suporte as solicitações e fique indisponível, ou seja, impedir que utilizado- res legítimos tenham acesso a determinado serviço” PERES – Op cit. p. 33.
276 Lei N.º 109/2009. Diário da República I Série. N.º 179 (15-09-2009). p. 6319-6325.
277 Na aceção do art.º 386.º do Código Penal, que consiste essencialmente nos trabalhadores que exerçam funções públicas.
A Aplicação do Uso da Força no Ciberespaço
56
cias através da autoridade judiciária. Neste caso, e considerando a sua relevância para a segurança interna, deveremos informar o CNCS, uma vez que os interesses do Estado poderão ser colocados em causa. Este foi o caso que ocorreu na Estónia, uma vez que os interesses do Estado ficaram em causa, devido a este tipo de atos terem impossibilitado o funcionamento ou desvio dos seus fins normais de instalações de serviços públicos ou des- tinadas ao abastecimento e satisfação de necessidades vitais da população.
De acordo com o supracitado, em Portugal poder-se-ia equacionara intervenção do Presidente da República (PR) para que seja declarado o estado de emergência. Nos termos do n.º 2 do art.º 19.º da CRP, o estado de emergência pode ser declarado nos casos de agressão efetiva ou iminente por forças estrangeiras, de grave ameaça ou perturbação da ordem constitucional democrática ou de calamidade pública. O estado de emergência é declarado quando estes pressupostos se revistam de menor gravidade (nomeadamente quando se verifiquem ou ameacem verificar-se casos de calamidade pública, tal como foi o caso em análise) e apenas pode determinar a suspensão de alguns dos direitos, liberdades e garantias suscetíveis de serem suspensos (n.º 3 deste art.º 19.º da CRP e n.º 1 do art.º 9.º da atual redação da Lei n.º 44/86, de 30 de setembro). O PR é a entidade com competência para declarar o estado de sítio ou de emergência, após audição do Governo e com autoriza- ção da Assembleia da República (AR).
A declaração do estado de sítio ou do estado de emergência é adequadamente fun- damentada e contém a especificação dos direitos, liberdades e garantias cujo exercício fica suspenso, não podendo o estado declarado ter duração superior a quinze dias, ou à duração fixada por lei quando em consequência de declaração de guerra, sem prejuízo de eventuais renovações, com salvaguarda dos mesmos limites (n.º 5 do art.º 19.º da CRP). A declaração do estado de sítio ou do estado de emergência em nenhum caso pode afetar os direitos à vida, à integridade pessoal, à identidade pessoal, à capacidade civil e à cidadania, a não retroatividade da lei criminal, o direito de defesa dos arguidos e a liberdade de consciência e de religião (n.º 6 do art.º 19.º da CRP)279.
278 Em qualquer dos casos, deve haver a apresentação de participação criminal junto do Ministério Público (ou junto de autoridades que tenham a obrigação legal de lhe transmitir a participação, tais como, a Policia Judiciária, a Guarda Nacional Republicana ou a Policia de Segurança Pública).
279 A declaração do estado de sítio ou do estado de emergência confere às autoridades competência para tomarem as providências necessárias e adequadas ao pronto restabelecimento da normalidade constitucional (n.º 8 do art.º 19.º da CRP). A violação do disposto na declaração do estado de sítio ou do estado de emer- gência ou na Lei n.º 44/86, de 30 de setembro, nomeadamente quanto à execução daquela, faz incorrer os respetivos autores em crime de desobediência (art.º 7.º da atual redação da Lei n.º 44/86, de 30 de setembro).
A Aplicação do Uso da Força no Ciberespaço
57
A execução da declaração do estado de sítio ou do estado de emergência compete ao Governo, que dos respetivos atos manterá informados o PR e a AR (art.º 17.º da atual reda- ção da Lei n.º 44/86, de 30 de setembro).
1.2.2.2. Website defacement
O website defacement constitui um crime de dano informático, nos termos do art.º 4.º da LC.
Associado a este tipo de crime, podem ocorrer outros, dependendo exatamente do teor das mensagens colocadas no website (tais como, difamação, previsto no art.º 180.º do CP, caso ofenda a imagem do PR, ou o incitamento à guerra ou à alteração violenta do Estado de Direito, previsto e punido no art.º 326.º do CP). Este teor poderá igualmente preencher o tipo criminal do crime de ameaça ou mesmo o de terrorismo, à luz da Lei n.º 52/2003, de 22 de agosto280.
Por outro lado, relacionado com o website defacement poderemos estar presentes perante um crime de acesso ilegítimo (art.º 6.º da LC), independentemente da forma da infiltração. Nestes casos, aconselha-se a participação ao MP281, sendo também conveniente solicitar a intervenção do CNCS e do Centro Nacional de Ciberdefesa, caso se verifique que possa ter impacto na defesa do Estado.
1.2.2.3. Ataques a servidores de sistemas de nome do domínio
No que concerne aos ataques a servidores de sistemas de nome do domínio, um bom exemplo deste tipo de ataques prende-se com a realização de um ataque de envio massivo de mensagens de correio eletrónico aos utilizadores de uma rede de dados (spam)282.
Uma vez que as mensagens enviadas massivamente tinham como objetivo perturbar o funcionamento do correio eletrónico, poderá esta prática enquadrar-se no crime de sabo- tagem informática (art.º 5.º da LC). Tal assenta no desiderato que se pretende atingir, ou seja, esta situação parece ter como objetivo perturbar o funcionamento do sistema de cor- reio eletrónico para, por exemplo, se verificarem atrasos na receção das mensagens ou, até mesmo, impedir que se vejam as mensagens pertinentes.
Nestes casos, e caso sejam utilizadas botnets, dificilmente se conseguirá chegar à verdadeira origem dos ataques, dificultando a responsabilização dos autores do ilícito283.
280 Alterada pela Lei n.º 60/2015, de 24 de junho.
281 O procedimento criminal depende de queixa, não sendo obrigatória a apresentação desta queixa. 282 Este ataque de envio massivo de mensagens de correio eletrónico designa-se por flood.
A Aplicação do Uso da Força no Ciberespaço
58
Por outro lado, e dependendo do teor concreto de cada mensagem, poderão ainda verificar-se outros crimes.