Imagine que é um especialista em informática e que começa a analisar uma aplicação que acabou de comprar. Depois de algum trabalho, descobre uma vulnerabilidade no código ou num qualquer componente da aplicação e informa o fornecedor. Passadas uma ou duas semanas, decide anunciar na Net a descoberta da vulnerabilidade juntamente com a actualização ou o método que permitem sanar a vulnerabilidade. Em todo o mundo, é assim que a comunidade de programadores especializados em segurança electrónica trabalha - mas em Portugal este processo tornou-se ilegal desde 15 de Outubro com a entrada em vigor da
nova Lei da Cibercriminalidade.
Segundo o artigo 4º da lei, é punível com um máximo de três anos de prisão "quem ilegitimamente produzir, vender, distribuir ou por qualquer outra forma disseminar ou introduzir num ou mais sistemas informáticos dispositivos, programas ou outros dados informáticos destinados a produzir as acções não autorizadas descritas nesse número".
Poderia parecer difícil, mas num único artigo, a Assembleia da República aprovou uma gaffe legal e revelou desconhecimento dos meandros da investigação da segurança electrónica.
Comecemos pela gaffe: o artigo 4º começa por dizer "(...) quem ilegalmente produzir (...). Em Julho, a Associação Nacional para o Software Livre (ANSOL) já havia alertado para o perigo de alguém alguma vez poder considerar ilegal a produção software. Já em Novembro, Rui Miguel Seabra, dirigente da ANSOL, voltou a reiterar que a nova lei é um acto de censura e faz tanto sentido quanto considerar ilegal "alguém escrever um livro".
Por mais de uma vez, já foram publicados livros que inspiraram livros ou filmes e autores que pegaram em textos de outros e reescreveram-nos. É discutível e pode até originar acusações de plágio, mas também há quem tenha aceite a metodologia como uma forma de arte possível. Até à data, o segmento da segurança electrónica tem seguido moldes similares: programadores mais ou menos bem intencionados (
white hackers) "pegam" no software, investigam-no, reescrevem parte, avisam o fornecedor das vulnerabilidades e publicam, após um denominado "período de graça", os bugs na Net.
Rui Miguel Seabra nega que este processo sirva para avisar os "maus" (
black hackers) de vulnerabilidades desconhecidas, até porque estes têm ferramentas sofisticadas e não revelam as vulnerabilidades. Em contrapartida, a publicação pressiona os fornecedores a sanarem as vulnerabilidades e evita que os "maus" perpetuem os seus ataques sem ninguém saber.
Não existem leis perfeitas, mas o facto de um artigo ameaçar com uma pena de três anos de prisão o simples acto de programar, é, no mínimo, assustador.
Mas desengane-se quem achar que é o único ponto polémico da nova lei da cibercriminalidade: há dias, no final de uma reportagem, felicitei um investigador da PJ pela entrada em vigor dos arquivos de dados das comunicações electrónicas. Julgava eu que estes repositórios facilitavam a vida de quem investiga, apesar de não estar totalmente convicto dos benefícios de arquivos que podem revelar a vida de milhões de pessoas ao ínfimo detalhe.
O agente da PJ logo tratou de acabar com a ilusão criada por um arquivo cuja existência e manutenção pode orçar milhões de euros: "Os juízes de instrução só consideram um crime grave, quando é punido com um máximo de três anos de prisão. E só nos crimes considerados graves os juízes autorizam o acesso aos repositórios. O que significa que em todos os outros ficamos sem os dados dos repositórios... agora gostava que me dissesse como é que se faz prova de um crime informático sem os dados relativos às comunicações?".
Só tem duas semanas de vida, mas a lei da cibercriminalidade já dá alguns sinais de desactualização.
