Tiago Oliveira, in Expresso
Já recebeu um SMS de algum familiar próximo a pedir dinheiro ou um pedido de cobrança financeiro no telemóvel por parte de uma “entidade oficial” que se veio a revelar falso? Se sim, faz parte de um grupo cada vez maior de pessoas e organizações vítimas de tentativas de fraudes e ataques digitais, com tudo a indicar que estamos apenas no início.
Dados da PSP indicam que os casos de burlas digitais cresceram 20% em 2022, com a polícia a receber mais de 36.000 queixas nos últimos quatro anos. As perdas estimadas para os consumidores já ultrapassam os €2 milhões e o valor médio das burlas chegou a €515 em 2023, revela o Portal da Queixa. Não é de estranhar que segundo um estudo desenvolvido pela Marsh Portugal, os ataques cibernéticos são o risco que mais preocupa as empresas em 2023, como indicam 46% de líderes empresariais. De acordo com um inquérito recente da União Europeia, 28% das PME europeias foram alvo de cibercriminalidade em 2021, mas, por outro lado, um trabalho global da Accenture revela que mais de metade das grandes empresas (55%) não combate estes ciberataques de forma efetiva.
Na opinião do sócio da Morais Leitão, Rui Patrício, “a realidade em que as organizações se movimentam hoje é, do ponto de vista dos muitos e diferentes riscos, cada vez mais desafiante, e exige previsão, adaptação e gestão constantes” e, segundo um aforismo popular, “olho vivo e pé ligeiro”.
Impera muitas vezes a reatividade quando devia prevalecer a proatividade, com Nuno Serdoura dos Santos a indicar que não é possível estar “sempre a correr atrás do prejuízo”. O procurador na Procuradoria-Geral da República — DIAP Regional do Porto revela que em 2022 “a tipologia criminosa mais reportada ao Gabinete Cibercrime foi a do phishing [fraude que implica levar o lesado a partilhar informações confidenciais, como palavras-passe e números de cartões de crédito]. A generalidade dos bancos portugueses (ou melhor, os seus clientes) foram alvo deste tipo de iniciativas criminosas”. Verificou-se também “um grande número de denúncias de páginas falsas na internet para ludibriar”. “São precisos instrumentos”, reforça, sem deixar de criticar o impasse legislativo e judicial relativamente aos metadados (dados de tráfego e localização nas comunicações) — e do impacto que provocou: “[O chumbo da lei dos metadados por parte do Tribunal Constitucional] foi uma hecatombe que destruiu toda a investigação criminal em ambiente digital. Era um desastre à espera de acontecer.”
“Com a declaração de inconstitucionalidade da norma que determinava a obrigatoriedade de as operadoras de comunicações guardarem esses dados pelo período de um ano para investigação de crimes graves, a investigação criminal deixou, pelo menos em grande medida, de ter à sua disposição informação previamente armazenada que poderia ser útil para a identificação dos autores dos crimes e para a sua responsabilização”, explica o associado coordenador da Morais Leitão, David Silva Ramalho, para quem é essencial que “o legislador português se debruce sobre este tema com a maior brevidade possível”.
Cumprir as normas
Uma das formas mais eficazes de empresas e organizações se protegerem das ameaças digitais e de problemas legais é através do compliance, que significa garantir o cumprimento de todas as leis, regras e regulamentos aplicáveis. Apesar de muitas vezes “seguirmos o caminho mais fácil, que é adotar [as normas comunitárias] sem ter em conta as particularidades do nosso tecido empresarial”, importa perceber que o compliance é também uma oportunidade para “atrair investimento num formato em que os investidores se sentem confortáveis com o modelo de negócio”, explica a sócia da Morais Leitão, Magda Viçoso, enquanto a responsável pela área de Compliance na The Navigator Company, Ana Ribeiro Marques, define o objetivo: “Minimizar riscos em várias frentes e assegurar que a empresa vai continuar no mercado a operar e em integridade.” Para Duarte Santana Lopes, sócio da Morais Leitão, o grande desafio é as empresas “adaptarem-se a esta nova realidade legislativa e regulatória muito exigente” sem prejudicar o seu negócio. Um “equilíbrio difícil”.
AS RESPOSTAS JURÍDICAS À INSEGURANÇA
Entre ciberataques cada vez mais frequentes e sofisticados e a necessidade de dotar as empresas, dos mais variados tamanhos e sectores, de programas de cumprimento das normas para minimizar o risco (compliance), a quinta reunião do Conselho de Segurança focou-se nas principais ameaças a que a esfera jurídica procura dar resposta. À medida que a legislação nacional e comunitária se adapta, surgem regras para reforçar a cibersegurança e penalizar quem não cumpre os trâmites legais, como é o caso do Regime Jurídico da Segurança do Ciberespaço ou do Regime Geral de Prevenção da Corrupção. “As empresas estão mais cientes”, garante Duarte Santana Lopes, sócio da Morais Leitão. Perante ficar exposto ou investir em práticas que garantem estabilidade, a resposta parece clara.
CITAÇÕES
“Precisamos de equipamentos e programas que nos tornem mais eficazes a combater as novas ameaças”
Nuno Serdoura dos Santos
Procurador na Procuradoria-Geral da República — DIAP Regional do Porto
“Se envolvermos sempre as pessoas e o negócio na definição de políticas de compliance, temos a vida facilitada”
Ana Ribeiro Marques
Responsável pela área de Compliance na The Navigator Company
“A palavra-chave é risco: na nossa sociedade enfrentamos múltiplos riscos e ameaças”
Rui Patrício
Sócio da Morais Leitão
Conselho de Segurança
O mundo vive envolto num conjunto de ameaças que exigem uma resposta pronta. O Expresso, em conjunto com a Sonae, Galp, Altice, Allianz, Morais Leitão e ACIN, lança um projeto para avaliar a nossa segurança tecnológica, militar, jurídica, na saúde, no Estado e nas empresas. Ao longo de seis meses, queremos construir um Conselho de Segurança, lançando debates, promovendo temas, reunindo especialistas.
Textos originalmente publicados no Expresso de 12 de maio de 2023