Título: Bancos partem para legítima defesa
Autor: Josette Goulart
Fonte: Valor Econômico, 29/03/2006, Legislação & Tributos, p. E1

Se é comum, natural até, que um indivíduo reaja a um assalto, em legítima defesa, alguns executivos de bancos, apoiados em pareceres jurídicos, começam a reagir e a contra-atacar os hackers antes mesmo de terem em mãos uma autorização judicial. A legítima defesa na internet é polêmica e tabu entre os bancos e os próprios advogados, mas é apoiada até mesmo por policiais que acreditam que este pode ser um bom dispositivo não só para evitar que furtos a contas correntes se concretizem como também evitar que o hacker - e seu rastro - desapareçam. O delegado titular da 4ª Delegacia de Meios Eletrônicos do Departamento Estadual de Investigações Criminais (DEIC) de São Paulo, Plínio Sales, explica que a prática pode ser considerada legítima defesa porque os bancos sofrem dois ataques. No primeiro, os dados são furtados e, em um segundo momento, são usados para um objetivo maior - o furto de dinheiro das contas-correntes. Ao contra atacar o hacker entre o intervalo desses dois ataques é que os bancos podem se proteger pela alegação da legítima defesa. "Ela só pode ser alegada se é usada na iminência do crime ser cometido, para evitar prejuízo para si ou para um terceiro", diz Sales. A Federação Brasileira dos Bancos (Febraban), por meio de sua assessoria de imprensa, informou que nenhum banco usa do contra-ataque aos hackers como forma proteção. Mas entre os advogados o tema é corrente. "Ninguém quer revelar publicamente que seu sistema foi vulnerável a um ataque", afirma o advogado Alexandre Atheniense. A advogada Patrícia Peck, especialista em direito digital, é uma das maiores defensoras da tese da legítima defesa e já deu pareceres para alguns bancos que enfrentam esse tipo de dúvida. Patrícia diz que é preciso usar desse artifício porque não há tempo para esperar uma autorização judicial, que leva em média 48 horas, para interceptar o hacker e recapturar os dados. "Não se sabe por quantos segundos o hacker vai manter os dados em um local onde se possa recapturá-los", afirma. Normalmente, não são os bancos que são atacados, mas sim seus clientes. Esse ataque é feito por e-mails com links ou anexos que chegam às caixas postais com algum código malicioso. Quando o usuário clica nesse link, o código instala um "espião" no computador. O usuário não percebe a presença desse espião e então usa normalmente seu internet banking. É quando os hackers conseguem furtar usuários/senhas. A consultora de segurança da Getronics, Luzikelly Cardoso, explica que depois de pegar os dados, o hacker precisa transportá-lo na rede de computadores até que eles fiquem "a salvo" em um banco de dados. Para fazer esse transporte, é preciso necessariamente usar um endereço eletrônico, seja de e-mail ou site, para onde os dados são enviados e só depois transferidos para um "local seguro" para o hacker. Este local seguro é muito difícil de ser encontrado ou rastreado, segundo Luzikelli. Daí, segundo Patrícia Peck, a importância de se agir rapidamente, quando ainda há um rastro a ser seguido. O advogado Renato Opice Blum, também especialista em direito digital, diz que a linha da legítima defesa é muito tênue. Ele é a favor desse instrumento, por exemplo, quando os dados furtados pelo hacker foram enviados para um site que fica instalado na Ucrânia, por exemplo, e uma autorização judicial para quebrar a privacidade do site pode demorar muito tempo. Essa preocupação se deve ao fato de que, se a legítima defesa não for aceita, o banco pode responder processo por interceptação, falsa identidade, quebra de privacidade e dano material e moral. Já há um caso de banco acionado na Justiça por um suposto hacker sob alegação de invasão de privacidade em São Paulo. Apesar de os dados serem furtados do cliente, os bancos conseguem monitorar o ataque de hackers por meio de softwares de proteção, baixados pelos próprios usuários. Alguns desses softwares, além de terem a função de neutralizar espiões, são sofisticados o bastante para se comunicarem com os bancos, como acontece com os antivírus. Além disso, muitos dos e-mails com os códigos maliciosos são enviados por meio de spams, em que sites e logos dos bancos são clonados e enviados ao usuários. E este tipo de spam é facilmente obtido pelo banco, que parte então em busca do infrator. Mas as instituições financeiras não só se valem do contra-ataque. Elas também usam um instrumento chamado engenharia reversa. O pesquisador em ciência forense da Universidade de São Paulo (USP), Marcelo Lao, diz que os bancos infectam propositalmente alguns ambientes cibernéticos. Quando os hackers entram nesse ambiente é possível testar seu comportamento e identificar sua origem, e é neste momento que as informações são repassadas à polícia, que segue esse rastro para efetuar prisões. Lao é totalmente contra o ataque dos bancos aos hackers. "A proteção tem que ser um escudo e não uma arma", diz Lao. "Um contra-ataque não é algo saudável, pois com certeza vão surgir situações em que esse ataque vai beirar ao crime."