Polícia Judiciária diz que, para investigar os crimes, precisa de "informação, seja proveniente dos operadores, para investigação, seja dos dados que possam ser recolhidos no âmbito de uma investigação", mas o Tribunal Constitucional declarou inconstitucionais as normas da chamada "lei dos metadados"
A Polícia Judiciária defendeu esta quarta-feira a necessidade de investigar dados de tráfego e comunicações armazenados pelas operadoras, depois de o Tribunal Constitucional ter declarado inconstitucional o seu armazenamento.
Num seminário sobre cibersegurança organizado pela PJ e por uma operadora de telecomunicações, o diretor nacional, Luís Neves, afirmou que a prevenção de cibercrime passa essencialmente pela prevenção, assente numa "recolha sólida e incontestável de informações técnicas baseadas em indícios digitais, incluindo os metadados, os famosos metadados esta quarta-feira colocados em causa por uma decisão do Tribunal Constitucional".
O acórdão dos juízes, divulgado a 27 de abril, declarou inconstitucionais as normas da chamada "lei dos metadados" que determinam a conservação dos dados de tráfego e localização das comunicações pelo período de um ano, visando a sua eventual utilização na investigação criminal.
O TC considerou que, ao não se prever que o armazenamento desses dados ocorra num Estado-membro da União Europeia, “põe-se em causa o direito de o visado controlar e auditar o tratamento dos dados a seu respeito” e a “efetividade da garantia constitucional de fiscalização por uma autoridade administrativa independente”.
Luís Neves salientou que o tratamento de metadados para investigação terá de acontecer "de acordo com princípios gerais de ordenamento jurídico e boas práticas forenses digitais".
O diretor da Unidade Nacional de Combate ao Cibercrime e Criminalidade Tecnológica, Carlos Cabreiro, disse aos jornalistas, à margem da conferência, que, para investigar os crimes, a polícia precisa de "informação, seja proveniente dos operadores, para investigação, seja dos dados que possam ser recolhidos no âmbito de uma investigação".
"É essa a essência da criminalidade informática e praticada com meios informáticos. Muitas vezes, temos uma peça única para provar factos, estamos a falar de dados que são essenciais para a perseguição penal", acrescentou.
Havia 4.500 processos de cibercrime pendentes em 2021
O cibercrime tem crescido ao mesmo ritmo que o uso da tecnologia, apontou Carlos Cabreiro, indicando que entre 2020 e 2022 os inquéritos abertos na área de Lisboa aumentaram 50%, atingindo 4.500 processos pendentes no fim de 2021.
A nível nacional, o número de inquéritos relacionados com o cibercrime estará entre 20 mil e 22 mil.
Referindo-se a ataques recentes em Portugal, como os que afetaram uma operadora de telecomunicações, um grupo de imprensa e um hospital, indicou que "já há dados sobre autoria".
"Não estamos a falar de um, dois ou três autores, podemos estar a falar de vários que cometeram vários ataques", indicou, acrescentando que "existem dois ou três casos com algum padrão".
O diretor da UNC3T adiantou que se pode concluir, pela reivindicação dos autores do ataque, que se trata "do mesmo grupo, embora lato e difuso", de que já foram constituídos alguns arguidos.
A juíza de instrução criminal Cláudia Pina destacou que o crime cibernético organizado tem "famílias" que controlam redes vastas de pessoas, desde colaboradores que desempenham uma função muito específica nas operações de ataque informático até assalariados numa hierarquia que percorre sites de emprego à procura de currículos que valha a pena aliciar e mobilizar para ataques concertados que podem "paralisar uma organização inteira".
"Nos casos graves, não são só rapazes 'nerds' pacatos na cave da mãe" envolvidos no assalto aos sistemas, muitas vezes disfarçados do que se chama ataques de "ransomware", frisou.
As redes criminosas preparam ataques mais complexos fazendo "intrusões anteriores", instalando nos sistemas atacados programas que lhes permitem "prender" os registos armazenados por trás de encriptação e impedir o acesso até receberem um "resgate".
Enquanto isso, são senhores de todos os dados que "raptaram" e podem destruir irreparavelmente os sistemas.
Para as vítimas, as perdas podem ser sobretudo económicas, mas "pode morrer gente e, infelizmente, já morreu", afirmou Cláudia Pina, citando o ataque à universidade alemã de Dusseldorf, em 2020, que impediu o hospital universitário de receber pessoas nas urgências.
