p Na Alemanha esta semana, o limbo jurídico que define o ciberespaço em todo o mundo estava em plena exibição. p O Escritório Federal de Segurança de TI do país (BSI para suas iniciais alemãs) vinha rastreando um ataque cibernético contra alguns parlamentares do país desde o início de dezembro. Em última análise, levou ao lançamento público de números de telefone celular, informações do cartão de crédito e detalhes do cartão de identidade de centenas de membros do parlamento, e outras figuras públicas.

p Apenas alguns deputados foram informados pelo BSI sobre os ataques, enquanto outros ficaram sabendo deles somente depois que os detalhes foram publicados na mídia. Os parlamentares ficaram indignados porque o BSI não os notificou de que seus dados pessoais estavam sendo alvejados, apesar de saber sobre os elementos do ataque por até quatro semanas.

p Uma preocupação mais profunda, levantado por alguns deputados, foi no mesmo período, O BSI (que não é uma agência de aplicação da lei) não informou à polícia alemã que um crime político dessa gravidade possivelmente havia sido cometido. Uma vez noivado, a polícia rapidamente encontrou um suspeito que teria confessado.

p Hacking, se os dados estão ou não comprometidos publicamente, é crime na maioria dos países. O crime é constituído simplesmente pelo acesso ilegal a dados ou máquinas. Mas poucos países têm leis que exigem que suas agências cibernéticas que monitoram o hacking relatem os atos criminosos - a terceiros vítimas ou à polícia.

p Esse vazio jurídico precisa ser tratado com urgência.

p Hackear é um 'crime sério'?

p O desafio para as agências cibernéticas ou empresas do setor privado que detectam um hack é que esses eventos são muito comuns. Milhões acontecem todos os dias, e informações forenses complexas precisam ser reunidas para julgar quais incidentes são graves o suficiente para exigir notificação. Isso configura um fato, mas mal definido, distinção entre "pequeno crime" (a maioria dos hacks) e "crime sério".

p O que isso significa na realidade pode ser ilustrado pela prática no estado australiano de New South Wales. Em NSW, existe a obrigação, de acordo com a Lei de Crimes, de denunciar crimes graves. Estes são definidos como aqueles que atraem penas legais de cinco anos ou mais de prisão. Mas quando se trata de hacking cibernético, muitas vezes não fica imediatamente claro se a extensão de um hack acionaria esse limite de penalidade.

p Essa incerteza estava em jogo no hack alemão, com o BSI justificando sua falha em notificar a reclamação que ainda estava tentando analisá-la, e não sabia a escala completa disso.

p Mesmo depois de prender o suspeito e saber a escala do ataque, O chefe da segurança cibernética do Escritório de Polícia Federal (BKA) disse que ainda não está claro se o hack foi um crime grave com motivação política. A suspeita de que possa ter motivação política advém do fato de que o único partido político cujos parlamentares não foram visados ​​foi o de extrema direita. AfD.

p O que 'relatório obrigatório' significa na Austrália

p Em 2018, depois de um longo debate público, A Austrália introduziu o esquema Notifiable Data Breaches (NDB) como uma emenda à Lei de Privacidade. O NDB exige que as empresas notifiquem o Gabinete do Comissário de Informação (não a polícia), bem como quaisquer vítimas, se os dados pessoais que eles possuem forem comprometidos de uma forma que constitua uma violação grave da privacidade.

p Esta disposição do código civil é muito fraca devido, em parte, ao fato de permitir que a empresa ou agência envolvida avalie a gravidade da violação durante um período de 30 dias antes que a obrigação de notificação seja aplicada.

p Também é fraco porque há uma isenção geral para atividades de aplicação da lei, e para as necessidades de sigilo do governo. Agências cibernéticas australianas, como o Australian Signals Directorate e o Australian Centre for Cyber ​​Security, parecem não ter nenhuma obrigação de dizer à polícia ou às vítimas que houve um hack ou uma violação de dados.

p Que significa, se as agências cibernéticas australianas soubessem que um governo estrangeiro havia hackeado um cidadão australiano, a vítima pode nunca ser informada. Ou se fotos de família de uma criança nua foram hackeadas de um computador familiar por um pedófilo, a família da vítima pode nunca saber.

p Direito de saber?

p Em muitos países, agências cibernéticas notificam grandes corporações sobre certos ataques de hack, independentemente do tipo ou escala. Existem várias motivações para esta prática principalmente voluntária. Uma é ajudar as empresas a perceber a seriedade da espionagem patrocinada pelo Estado contra elas. Outra é ajudar a própria agência cibernética a coordenar uma investigação do hack, e descobrir o que pode ter sido perdido.

p Isso não é o mesmo que a polícia que investiga o crime.

p Em muitos países, apenas as agências policiais estão autorizadas a investigar crimes para efeitos de processo judicial. Poucas jurisdições, caso existam, esclareceram formalmente as maneiras pelas quais a polícia e os tribunais podem confiar nas informações sobre hacks cibernéticos coletados por agências cibernéticas ou empresas de segurança.

p A Austrália ainda não teve um debate sério sobre a reportagem de crimes cibernéticos, e suas complexidades forenses:quem é responsável por quê, e onde devem estar as prioridades. Está pelo menos uma década atrasado.

p Embora reconheça que alguma distinção precisará ser feita entre crimes cibernéticos pequenos e graves, tal debate deve reconhecer o direito dos cidadãos de serem informados por nossas agências cibernéticas quando forem atacados no espaço cibernético e, se possível, por quem. p Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.