A CipSoft, o Tibia e os cibercriminosos: A busca de uma punição jurídica?

[Leobahia]

---

Spoiler: Aos estudantes e bacharéis em direito.

O texto, apesar de seu cunho técnico, foi totalmente adaptado para o público alvo do fórum. Algumas palavras foram suprimidas e/ou modificadas para evitar o juridiquês característico da área.

Um debate recente no TibiaBr sobre "processar a Cip", me estimulou a buscar por processos movidos contra à Cip junto aos Tribunais nacionais. Para minha surpresa achei um processo da CipSoft contra um brasileiro.

Trata-se de carta rogatória (instrumento jurídico de cooperação entre dois países) encaminhada pelo Ministério das Relações Exteriores, a pedido da Embaixada da República Federal da Alemanha, na qual o Procurador Geral da República de Regensburg solicita auxílio judiciário mútuo em matéria penal para instruir procedimento de investigação instaurado na Alemanha contra um cidadão brasileiro.

Conteúdo completo aqui: http://stj.jusbrasil.com.br/jurispru...-voto-12387518

H P C. é um brasileiro - menor na época - dono do personagem “Morientes”. Ele atacou os servidores da Cip em 2007, tendo inclusive concedido entrevistas a um usuário do PortalTibia.

Vide: Entrevista com cracker que está atacando o Tibia - http://forum.portaltibia.com.br/topi...cando-o-tibia/

Esses ataques também foram amplamente debatidos em nosso fórum:

http://forums.tibiabr.com/threads/23...t#.VY3W0mirTiM
http://forums.tibiabr.com/threads/16...s#.VY3XImirTiM
http://forums.tibiabr.com/threads/16...o#.VY3WqWirTiM

A Cipsoft recorreu à Justiça e solicitou investigações para verificar se H.P.C. era dono do personagem “Morientes”, que ele fosse qualificado (nome completo, idade, CPF, RG, endereço, filiação) e ouvido em uma Delegacia de Policia Especializada sobre as acusações apontadas na investigação iniciadas na Alemanha.

Ele estava sendo acusado de Sabotagem de no mínimo 300 computadores e Espionagem de dados, conforme artigos 202a, 303a, 303b do Código Penal Alemão. Este fato ocorreu no período de 01.05.2007 e 27.05.2007 e 07.08.2007 a 27.08.2007 onde os servidores da CipSoft sofreram sobrecarga por meio de ataques de DDoS. Por causas desses ataques a CipSoft amargou um prejuízo de aproximadamente 100 mil euros e ainda perdeu cerca de 5k de players.

H.P.C. contratou advogado, apresentando sua defesa e declaração de hipossuficiência (= declaração de pobreza. Serve para que o cliente seja isentado de custas relativos ao processo). Apresentou cópias autenticadas de documentos pessoais (RG e CPF) e comprovante de residência.

Percebam que nesse ponto a CipSoft e a Justiça conseguiram localizar e identificar, faltava puni-lo pelos ataques DDoS.



O advogado de “Morientes” conseguiu sucesso em dois pontos:

• A lei penal brasileira considera que menor de 18 anos não pode ser punido e na época ele tinha 17 anos, portanto, "dimenô"
• Em 2007 no Brasil, diferente da Alemanha, não havia lei de crimes cibernéticos.

O Exmo. Sr. Ministro Hamilton Carvalhido analisou o pedido de cooperação feito pela Justiça Alemã e decidiu:

[...]HPC "Morientes", aos olhos da legislação brasileira, é penalmente inimputável, vale dizer, não pratica crimes, é só pode ser responsabilizado pela prática de ato infracional, que por sua vez não resulta em prisão, mas medidas sócio-educativas. Griffos, supressões e adaptações minhas.

Dessa forma, os fatos ocorridos na Alemanha não são considerados crime no Brasil e, sim, ato infracional, sendo assim, é inviável atender ao pedido de cooperação internacional, cujo objetivo final era o interrogatório do menor brasileiro H P C. Griffos, supressões e adaptações minhas.

Só para esclarecer: ato infracional é a mesma coisa que crime mas, como é praticado por menor, ganha um novo nome.

Continuando...

[...]não vejo possível o Estado brasileiro colaborar para instrução de procedimento investigatório criminal que poderá resultar numa condenação penal que ele mesmo não admite[...]não há como acatar com as diligências requeridas. Griffos, supressões e adaptações minhas.

Em resumo a falta de lei de cybercrimes no Brasil e o fato dele ser menor de 18 frustrou com a pretensão da CipSoft.

Mas, percebam que ele "teve trabalho" e, no minimo, recebeu uns bons puxões de orelha do pai. Acredito que o fato dele ter declarado que era "pobre na forma da lei", deve ter desestimulado a Cip processá-lo para pagar pelos prejuízos que gerou.

Em 2007 não tínhamos no Brasil uma lei que punisse os crimes virtuais, entretanto, após a Lei Carolina Dieckman - que alterou o Código Penal em Nov/2012- quem comete esses crimes já pode ser punido. Caso fosse hoje, a situação poderia ser diferente.

Por fim, e não menos importante, está tramitando no Congresso a redução da maioridade penal. Caso aprovado quem tiver 16 anos já pode ir pra cadeia se cometer certos tipos de crimes.

Acredito que nos ataques de 2013 a CipSoft não acionou a Justiça e preferiu investir em contra-tecnologia, leia-se: PROLEXIC. No entanto, o prejuízo gerado pelos recentes ataques, deve ser tão grande que certamente vão acionar o Judiciário.

Como disse acima, hoje em dia as leis brasileiras estão mais favoráveis para punir quem está por trás desses ataques.

Eu torço para que o desfecho seja diferente!

Spoiler: Cybercrimes na Deep Web: As dificuldades de determinação juridica nos crimes virtuais.

Deixo aqui um artigo de minha autoria, para quem tiver interesse no assunto.

http://jus.com.br/artigos/39754/cybercrimes-na-deep-web-as-dificuldades-juridicas-de-determinacao-de-autoria-nos-crimes-virtuais/1

Referências Bibliográficas:
http://stj.jusbrasil.com.br/jurispru...-voto-12387518
http://jus.com.br/artigos/39754/cybe...mes-virtuais/1
https://pt.wikipedia.org/wiki/Carta_rogat%C3%B3ria
http://www.hugomeira.com.br/declarac...ossuficiencia/
http://forum.portaltibia.com.br/topi...cando-o-tibia/
http://www.direitonet.com.br/diciona...71/Inimputavel

[Skiann Torphyx]

Bom tópico

Aparentemente, nestes últimos ataques (ip bloqueados e etc), a CipSoft perdeu entre 500 e 1.000 jogadores na média de jogadores online. Considerando que hoje em dia, a maioria dos jogadores pagam premium e até compram outros serviços — a comunidade ficou mais velha e com poder de compra mais alto —, o prejuízo deve ter sido bem grande, principalmente que para não deixar os jogadores na mão, irão dar compensação (podendo ser em Tibia coins).

Existe chances da empresa tentar novamente um processo parecido, desta vez em uma situação mais favorável.

[Gustavo Santiago]

Muito bom o tópico. Gostei de como você explicou os termos que eu não ia entender DD

Que bom que agora temos leis sobre crimes cibernéticos.
Espero que encontrem e consigam de alguma maneira pelo menos neutralizar os attackers.

[Pearl]

Faço parte dessa estatística de jogadores que sumiram após os ataques DDoS, mas não fiquei sabendo desse processo aí. Prova aquilo que dizem em todo tópico: todo processo é bem complicado quando os envolvidos são de nações diferentes.

Não tô com muito tempo pra comentar agora, então fico com uma pergunta para os entendidos: como seria a situação se o ataque envolvesse servidores localizados no Brasil (supondo um cenário como a antiga Tenebra)?

[Martios]

Interessante, não sabia que a Cipsoft tinha processado um player. Com certeza o cara deve ter apanhado em casa.
Existe algum outro processo da Cipsoft contra brasileiros?

EDIT: Ah, pesquisei e é só esse mesmo.

[rmoni3000]

Caramba, a CipSoft deve ter ficado muito cabrera, eeeee país de várzea que nós temos :/

Enviado de meu LG-D855 usando Tapatalk

[Leobahia]

... como seria a situação se o ataque envolvesse servidores localizados no Brasil (supondo um cenário como a antiga Tenebra)?

Um dos grandes problemas no combate aos cybercrimes é a total ausência de fronteiras para quem comente e a existência de barreiras legais para quem os combate.

Cada país atua dentro do seu espaço de soberania, sendo assim, cada um faz as leis da forma que acha melhor para sua sociedade. Existe um tratado sobre cybercrimes, também chamado de Convenção de Budapeste, que é o mais amplo instrumento jurídico internacional (tratado) para o combate a crimes dessa natureza.

A sua pergunta é muito interessante, considerando que o ataque fosse dirigido a um servidor instalado no Brasil, a grande vantagem nos dias atuais, é que tudo poderia ser resolvido no Brasil sem a necessidade de pedido de cooperação internacional. O problema seria a morosidade do nosso judiciário.

[Chbohn]

Tomara que desta vez os culpados sejam presos (independente de onde)...

[LuKa$]

Belo tópico!

Convenhamos também que alguém que ataca e derruba os servidores da Cipsoft e sai anunciando "fui eu, fui eu" de cara "limpa" é no mínimo burro ou se garantia na menor idade.

Hoje em dia é muito mais complicado porque esses caras estão atrás de vários proxys de países diversos, fora que devem ter HD criptogrados usam VPN e várias coisas que seriam muito mais difícil de rastrear e provar o autor dos ataques (como no caso do tópico aqui).

[Leobahia]

Belo tópico!

Convenhamos também que alguém que ataca e derruba os servidores da Cipsoft e sai anunciando "fui eu, fui eu" de cara "limpa" é no mínimo burro ou se garantia na menor idade.

Hoje em dia é muito mais complicado porque esses caras estão atrás de vários proxys de países diversos, fora que devem ter HD criptogrados usam VPN e várias coisas que seriam muito mais difícil de rastrear e provar o autor dos ataques (como no caso do tópico aqui).

Concordo Luka$, sabemos que a parte mais difícil em uma investigação de cybercrime é justamente a identificação de autoria, que nesse caso em específico, foi facilitada pelo próprio autor.
.
Isso é perfeitamente normal em ataques com esse propósito. O perfil desses atacckers, em geral, não são de "profissionais do crime" mas, sim, players com algum conhecimento técnico, que deixam vestígios virtuais por todos os lados, quando não fazem disso um troféu pessoal e fazem questão de dar publicidade.

O problema ocorre justamente quando há profissionais por trás dos ataques, aí é phod@!

Observe que naqueles ataques de 2013, a própria comunidade sabia quem era o principal ataccker, inclusive, pincharam a casa do cara e acionaram os famosos deliverys. Ou seja, a identificação já estava feita, bastava comprová-la.

Acho que depois desse caso a Cip preferiu resolver a coisa com a PROLEXIC. Na minha humilde concepção, o combate eficaz aos cybercrimes necessita de uma ampla e forte parceria entre profissionais de (T.I) Tecnologia da Informação e do Direito.