O compliance digital e os crimes cibernéticos

O ano de 2019 é de ser considerado nas empresas brasileiras e estrangeiras um ano de intenso trabalho em compliance, que quer dizer conformidade normativa interna e externa de órgãos regulamentadores em todas as esferas relacionadas a sua área de atuação.

Com o ingresso de 2020 e o atual momento com a pandemia de COVID-19 que vivemos, incrementou-se ainda mais a necessidade de trabalhos de análise de riscos cibernéticos e compliance.

Tags como: tone from the top, riscos, desenho de processos e controles, cultura corporativa, empresarial, organizacional; gestão de pessoas, código de ética, comitês, gestão de mudança, metodologia, canal de denúncia, engajamento de equipes, entre outros, foram amplamente utilizados pelas empresas por meio de seus compliances officers e chief compliance officers. Tudo “by the book”, como deve ser.

E qual é o objetivo de tão importante trabalho? Ora, é claríssimo! Busca-se agregar valor e vantagem competitiva à concorrência, atrair investidores, ter possibilidade de acesso aos riscos envolvidos na atividade, ajustar condutas, ter uma cultura de valores em sua própria governança corporativa, prevenir desvios econômicos e conflitos judiciais.

A par de ser adequado ou não estarem o compliance officer e/ou chief legal & compliance officer alocados fisicamente na própria instituição e não fora dela — há discussões acerca desta conveniência —, fato é que o compliance erigiu e conquistou, definitivamente, um lugar relevantíssimo na estrutura da governança corporativa de uma instituição.

O tripé GRC- Governança, Risco e Compliance, estão cada vez mais em evidência

Por outro lado, se muito se fala sobre compliance, muito pouco se fala sobre o compliance officer ou diretor de compliance, isto é, sobre seu papel na corporação, bem como seus direitos e deveres.

Não somente os compliances officers e diretores de compliance não são lembrados de suas atuações, como também não o são os diretores (estatutários ou não), gerentes, entre outros, de uma instituição empresarial.

Fala-se em OKR (Objectives and Key Results), metas desafiadoras, KPI (Key performance Indicators), planos de ação, programas de compliance, entre outros, mas se esquecem de dar atenção aos riscos advindos destas atividades.

A responsabilidade civil (latu senso: tributário, trabalhista etc.) de pessoas que exercem a função de direção, gerência ou coordenação, recai em relação à pessoa jurídica, pois a grande maioria das punições são pecuniárias.

Já, em relação à responsabilidade criminal, a situação é muito diferente, de modo que recairá sobre a pessoa física que de fato praticou o crime.

A questão que se coloca como de extrema importância é quando não se sabe ou não se tem certeza de quem praticou o crime, principalmente no campo digital, pois os crimes incidentes não deixam clara a sua autoria.

A adoção de trabalho remoto aumentou consideravelmente o número de fraudes digitais e ataques virtuais

Infrações como notícias inverídicas (fake news), prevista no art. 41, da Lei nº3.688/1941, arts. 134-A (invasão de dispositivo informático), art. 266 (interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública) e art. 298, parágrafo único (falsificação de cartão de crédito ou débito) todos do Código Penal, bem como todas as demais infrações previstas no ordenamento jurídico praticadas em ambientes virtuais tal qual o estelionato digital (art. 171, do Código Penal), e outros como crimes contra a honra, pornografia, “revenge porn” (pornografia de vingança), estão na ordem do dia das empresas.

Sem que a diretoria saiba, não é incomum termos situações de utilizações de sites maliciosos pelos colaboradores de uma empresa, fraudes com os dados sensíveis de clientes ocasionando não somente um prejuízo econômico, mas, de imagem e ética, que uma vez na rede mundial cibernética, agrava ainda mais a situação da empresa e das pessoas físicas envolvidas.

O que é ainda mais gravoso é o fato de que uma vez não sendo identificado o infrator de um crime, não raras vezes responderá por ele o diretor, gerente, compliance officer, entre outros.

O dilema sobre a responsabilidade de presidentes, diretores, gerentes, compliance officers, entre outros, a quem se atribui o dever de evitar o crime, previsto no art. 13 do Código Penal, pode ser dirimido se houver um trabalho robusto de compliance criminal atrelado ao digital, de modo que as medidas de cyber security desenvolvidas e implementadas na corporação com o apoio de aferição e indicação de responsabilidade criminal, neutraliza em quase 89% (dados obtidos por pesquisa processual) as práticas de infrações digitais criminais.

Seja pela criação de um risco juridicamente proibido ou da inobservância do dever de cuidado (a chamada “posição de garante”), os players envolvidos na direção de uma corporação correm sérios riscos de responsabilidade criminal, principalmente, as tarefas delegadas a terceiros (risco maior), que é o que ocorre na prática.

É necessário haver mecanismos e políticas de prevenção criminal que preservem aquele que exerce e delega funções importantes, e com tomada de decisões relevantes assume o dever de evitar o ato lesivo criminal, por lei.

A responsabilidade penal pela omissão é a chamada de “posição de garante”, isto é, deveria ter agido, mas se omitiu, e o evento danoso ocorreu. Deve haver na omissão do dirigente o especial dever que é resultante de preceito legal, como dito.

Falando em aumento de infrações e responsabilidade criminal, a Fundação Getúlio Vargas estima que aproximadamente de 220 milhões de smartphones estão ativos no Brasil. Esse número impressiona, já que o Instituto Brasileiro de Geografia e Estatística – IBGE divulga que hoje temos cerca de 211 milhões de habitantes, ou seja, temos mais smartphones ativos no Brasil do que habitantes.

Tudo isso contribui, infelizmente, para aumentar o índice de crimes envolvendo fraudes digitais, vez que a pandemia de COVID-19 vem confinando as pessoas em suas casas.

Os crimes digitais, também conhecidos como cibernéticos, como dito, têm ganhado protagonismo mundo afora, mudando aspectos criminosos, já que a facilidade de induzir a vítima a erro é enorme, além de possibilitar o anonimato ao criminoso que dificulta sua responsabilização pelas condutas criminosas.

Hackers têm se utilizado desse tipo de invasão para ter acesso indevido a aplicativos, como WhatsApp de terceiros e obter acesso irrestrito a dados e contatos de suas vítimas.

A invasão pode ocorrer de diversas formas, uma delas é a denominada phishing, que consiste, em síntese, no envio de links/códigos maliciosos a possíveis vítimas. Uma vez acessado esses links, o hacker passa a ter acesso ao dispositivo informático alheio. O simples acesso ao dispositivo alheio já caracteriza a conduta prevista no art. 154-A do Código Penal, supracitada.

O phishing também é muito utilizado em fraudes bancárias, como por exemplo, na emissão de boletos bancários “mascarados”, o que pode configurar o crime de estelionato eletrônico (art. 171 do Código Penal).

Essa conduta é bastante comum nas compras de e-commerce. Por vezes, a vítima é induzida a realizar compras em sites falsos acreditando estar comprando em um endereço eletrônico legítimo. Ao finalizar a compra, a vítima recebe um boleto que aparentemente apresenta como beneficiária a loja em que pensa estar comprando, enquanto na verdade, quando pago, o valor do boleto é direcionado à uma conta dos cyber-criminosos.

O número de ocorrências desse delito vem crescendo demasiadamente em território nacional.

Apenas para se ter uma ideia em proporções, o Instituto de Segurança Pública do Rio de Janeiro divulgou que entre 13 e 31 de março do 2020 os estelionatos praticados em ambiente virtual cresceram de 11,8% para 24,3%, sendo que no mesmo período do ano passado esse tipo de ocorrência correspondia a apenas 7,9% dos casos.

Como forma de mitigar a ocorrência dos crimes acima mencionados, em especial aqueles praticados por meios digitais, as empresas têm adotado programas de compliance digital e criminal no seguimento de e-commerce de consumo. Em síntese, os programas de compliance buscam a harmonização entre a atividade econômica da empresa e a regulamentação vigente.

O programa de compliance digital e criminal bem estruturado deve integrar ações conjuntas com todos os departamentos da empresa, em especial, os departamentos de vendas e marketing digital.

A própria Lei nº 13.709/2018 – Lei Geral de Proteção aos Dados, prevê a adoção de programas de governança e compliance digital e criminal para a proteção de direitos dos seus clientes e de suas responsabilidades, que não são poucas. O art. 46 e seus parágrafos são claros quanto à necessidade de adoção de programas e/ou políticas capazes de proteger o acesso a dados não autorizados.

A cada segundo, 14 pessoas são vítimas de crimes praticados pela internet, o que totaliza 1 milhão, diariamente, dados esses que são apresentados pela empresa Symantec, que atua na área de segurança virtual. Esse mesmo estudo mostrou que só no Brasil são mais de 3 mil vítimas por hora.

Com a COVID-19, pagamentos online tiveram um maior tráfego de informações nas redes – aplicativos de mensagens e e-mails. Desse modo, é provável que venha à tona a deficiência dos controles internos dessas empresas para o combate das condutas criminosa — o que culmina em responsabilização criminal de quem tem a obrigação de evitar o resultado.

Com o aumento da criminalidade cibernética a importância das implementações de bons programas de governança e compliance digital e criminal são medidas de caráter emergencial, de modo que o resultado destas invasões são responsabilidades criminais que atingem diretamente as empresas e seus representantes legais.

Um ponto no mercado empresarial é convergente e comum à todos: AC – antes do coronavírus, havia certa relutância de empresários em investir esforços em projetos como o de compliance digital e criminal, entretanto, DC – depois do coronavírus, as empresas que sobreviverão, certamente estarão em dia com as suas responsabilidades, principalmente as criminais, que envolve terceiros.

Carla Rahal, advogada criminalista e sócia de Viseu Advogados.