Os casos de phishing (obtenção de dados através de fraude informática) em Portugal são cada vez mais frequentes, e são sobretudo organizações oriundas do Brasil e da Rússia que mais actuam no nosso país, designadamente no que diz respeito a alguns operacionais no terreno. Da totalidade dos casos de cibercrime em Portugal, 75% dizem respeito ao phishing. Seguem-se, por ordem, os casos de acesso ilegítimo, dano informático, pornografia de crianças, software ilegal e sabotagem.

As redes criminosas, no caso do cibercrime operam, como é do conhecimento geral, a partir de qualquer ponto do planeta desde que exista uma ligação à internet, mas há operações que implicam logística no terreno. O i apurou que a máfia brasileira, normalmente com sede no Brasil, utiliza contas de imigrantes em Portugal, sobretudo cabo-verdianos e guineenses, para lavar dinheiro proveniente de actividades ilegais ligadas ao cibercrime. Em alguns casos, depois de aceder a dados pessoais de cidadãos portugueses, fez transferências para essas contas "emprestadas" e, por sua vez, as Mulas - como são conhecidos os colaboradores - reenviam o dinheiro para outras contas controladas pelos líderes da organização. Habitualmente, os titulares destas contas ficam com uma pequena percentagem das transferências. Muitas vezes, a máfia brasileira recruta jovens do sexo feminino que trabalham em lojas com acesso a um computador.

No caso da máfia russa, são utilizadas contas de imigrantes de Leste, não necessariamente russos, mas oriundos das ex-repúblicas soviéticas como a Ucrânia e Moldávia. Neste caso, as Mulas recebem o dinheiro nas suas contas, levantam os montantes e fazem transferências de dinheiro rápidas através dos sistemas Money Gram ou Western Union, entre outros.

Há centenas de esquemas para "pescar" dados via internet, mas o mais actual é a criação de páginas em tudo semelhantes aos bancos, sistemas de pagamento como o MB-net ou Pay-Pal ou mesmo correios electrónicos mais utilizados como o Gmail e o Hotmail ou sites de compras como o E-bay. Sem se aperceberem, os utilizadores abrem o Gmail, e aparece uma página semelhante, apenas com uma diferença: o endereço electrónico. A imagem é a mesma e a partir do momento que se faça o registo, com os mesmos passos de sempre, os dados já foram enviados para os criminosos.

Há outras formas de obter dados menos comuns e que passam pelas ameaças. Por exemplo, em casos em que os dados como o nome e a filiação foram recolhidos, os criminosos utilizaram a ameaça de represálias sobre os pais da vítima que querem extorquir. O correio electrónico que pode recolher este tipo de dados apresenta-se, por exemplo, como angariador de trabalho a partir de casa.

Soluções O procurador da República Pedro Verdelho, representante português da Convenção sobre o Cibercrime no Conselho da Europa, explicou ao i que as respostas para combater o problema passam "pela informação dos utilizadores" e pela "formação contínua dos profissionais que investigam nesta área". O responsável sustenta que no homicídio, tráfico de droga ou crimes mais convencionais, "a necessidade de actualização não é a mesma". Os profissionais necessitam, refere, "de obter informação e formação quase constante e actualizada" para combater eficazmente a cibercriminalidade.

Relativamente às máfias, Pedro Verdelho confirma que o Brasil, a Rússia e o Sudoeste asiático são locais onde a cibercriminalidade abunda, onde existem grandes redes, mas refere que Portugal não é mais nem menos afectado do que os outros países. De resto, a questão do espaço físico na criminalidade informática é secundária e o facto de falarmos português é a razão porque poderemos ser um alvo dos brasileiros.

É precisamente esse espaço virtual que dificulta a investigação. O cibercrime é global, mas as polícias são nacionais. O facto de países como o Brasil ainda não terem legislação aprovada, ao invés de Portugal que aprovou uma lei específica contra o cibercrime em 2009, agrava o combate.

Perante as dificuldade, acrescenta Pedro Verdelho, foi determinante a assinatura em 2001 da Convenção sobre Cibercriminalidade, conhecida por Convenção de Budapeste, onde Portugal esteve desde o início e que define uma política conjunta e aponta orientações legislativas. São 30 países que assinam a convenção, entre os quais os Estados Unidos - único não europeu - mas "preparam-se para assinar o texto o Japão, Canadá, Filipinas, México, África do Sul e Índia, entre outros", conclui o magistrado.

Entre outros mecanismos, Pedro Verdelho lembra que há uma linha telefónica, 24-7, que funciona em contínuo "destinada a uma troca rápida de informações entre os países que assinaram a convenção".

Silêncio Outra questão que preocupa os investigadores do cibercrime é a reduzida colaboração dos bancos. O i apurou que representantes das instituições bancárias reuniram na Associação Portuguesa de Bancos para criarem um grupo de trabalho sobre phishing.

Entre outros assuntos, discutiu-se o pagamento a clientes enganados. Para os responsáveis dos bancos parece ser óbvio que terá de ser o cliente a suportar a fraude, se ela tiver sido cometida depois do titular da conta ter disponibilizado, mesmo que sem querer, os códigos de acesso. Todavia, uma decisão do Julgado de Paz de Lisboa chegou a condenar parcialmente a Caixa Geral de Depósitos (CGD) a indemnizar dois clientes. É precisamente a CGD que é apontada pelas autoridades como o banco mais colaborante. Fonte das autoridades disse ao i que há casos com outros bancos em que as dificuldades levantadas pelos responsáveis chegam mesmo a inviabilizar a investigação. Pedro Verdelho conclui que, apesar de todos os bancos já terem sido vítimas de phishing, "preferem esconder o assunto" por uma questão de imagem.