O título, mais que chamativo, nos revela um dos principais golpes que nascem com o uso das novas tecnologias e telefonias móveis, praticados no Brasil, a despeito de muitos que não "podem acreditar" que alguma pessoa, no pleno uso e gozo de suas sanidades mentais, pudesse cair no conto do cartão pré-pago, o fato que é esta modalidade se demonstra extremamente exitosa, sobretudo em vítimas da terceira idade ou que desconhecem tecnologia da informação.
A abordagem vem de diversas formas, desde uma simples mensagem SMS a uma ligação onde o criminoso, na grande maioria das vezes lotado no "setor de telemarketing do cárcere" (pasmem, de dentro de cadeias), e portando um terminal móvel que não deveria lá estar, aplica as fraudes com uma destreza, comunicação, desenvoltura e frieza inenarráveis.
Há tempos discutimos este tema nas Universidades em que ministramos aulas sobre segurança da informação e direito digital, ou seja, como poderíamos reduzir a probabilidade de ataques desta natureza, cientificando sobre ou vedando determinadas práticas junto ao ponto mais fraco da cadeia desta análise de risco, qual seja, as pessoas, milhões de brasileiros com telefonia móvel pré-paga ou que mesmo sem ter um telefone, conseguem comprar um "cartão pré-pago", sem qualquer autorização ou registro desta atividade.
Pois não é que o legislativo já estava raciocinando sobre o tema, em meio a mensalões, mensalinhos, pizzas e panetones? Pois bem, a redação está estampada no Projeto de Lei 5519/2009 [1], de autoria do Deputado Federal Dr. Talmir, do PV de São Paulo.
Segundo a redação do Projeto, em seu artigo 1º., o usuário estará obrigado a exibir a identificação internacional do aparelho (IMEI), no momento que comprar créditos para linhas pré-pagas. Além disso, os créditos devem ser colocados no momento da compra.
Ainda segundo o art. 5º. do projeto, o Estabelecimento que descumprir o disposto na lei poderá se sujeitar a uma multa digamos, módica, de R$500,00 (quinhentos reais). Ademais, os prestadores de SMP (Serviço Móvel Pessoal) passam a ser responsáveis pela não inclusão de créditos em IMEIs cadastrados na Blacklist (Lista negra de dispositivos roubados), um nome que os crackers deram à CEMI (Cadastro de Estações Móveis Impedidas), cabendo às teles à consulta a tal base de dados. Algo já praticado, mas agora documentado por obrigação legal e não meramente regulamentar.
Segundo a justifica do Projeto, o mesmo é pertinente para evitar e dificultar o furto, receptação e o uso de terminais roubados. Ainda prevê que a sociedade está indignada pelo mercado ilegal de terminais móveis. Sem dúvida, um mero acesso em comunidades sociais é o bastante para se constatar o lucrativo comércio de celulares roubados.
Porém, de maneira alguma desmerecendo a nobre iniciativa do Deputado (ou de quem realmente escreveu o projeto), temos algumas considerações que nos inquietam. Primeiro, na justificativa do projeto, poderia ser inserido que hoje em dia a grande maioria dos bandidos presos só estão online e acessíveis graças ao tráfico dos pré-pagos (até porque, no Brasil, não se pode descartar que algum bandido receba sua conta do pós-pago na cadeia!)
Ou seja, todos sabem que para recarregar um celular, não é necessário estar na posse do cartão de recarga ou mesmo apresentar o terminal, bastando conduzir um ingênuo a gastar não mais que trinta reais, sujar seu dedo indicador e raspar a área com o código de recarga. É só isto que os detentos precisam para perpetuarem o "corró 2.0".
Logo, ao se restringir a compra à recarga imediata ou ao fornecimento do IMEI, se estaria, em tese, dificultando a atividade do bandido, pois seria muito cansativo (em termos, já que eles já estão bem descansados na cadeia) pra ele realizar abordagens do tipo "Olha, para que o senhor possa pegar o seu carro novo de natal, anote um numero imenso que vou lhe falar, agora, corra! Vá até uma banca e compre um cartão pré-pago, fale ao vendedor este número! Depois me ligue novamente, raspe o cartão, e me fale o outro número imenso que existe no cartão!"
Quem cairia num golpe destes? E por mais que o pobre cidadão mais que desinformado entrasse neste ardil, seria barrado pelo lojista, que lhe falaria que o IMEI fornecido não pode ser carregado. Eureca!
Porém, na justificativa do projeto consolidada, chamamos a atenção para o fato de que mais uma vez, tenta-se legislar sobre tecnologia como se legisla uma "dermarcação de terras".
Esquece ou desconhece o nobre Deputado que até meus antecessores conhecem técnicas de "IMEI change", ou seja, a possibilidade de se substituir ou alterar o código IMEI de um aparelho, validando-o. Logicamente, que a técnica varia de celular para celular, sendo que alguns exigem cabos, boxes e softwares específicos, outros, permitem a alteração via códigos no teclado (chamada pelos phreackers brasileiros [2] de reprogramação). Aliás, pode-se encomendar este serviço na Internet, rápido e fácil.
Bastaria uma googada para que o R. Deputado descobrisse que a segurança orientada à IMEI é de longe conhecida ao "estado da técnica", existindo na Internet inúmeros Wizards e vídeos ensinando a alteração de tal código, que aliás, é um dos princípios da velha clonagem de celulares.[3]
Alguns programas ainda checam o IMEI novo para ver se ele é válido ou não, tudo, ao alcance de um click. Mas, como criminoso poderá encontrar IMEIS válidos para "esquentar" seu celular roubado? Simples, faça o teste e digite *#06# no seu celular. Agora imagine aquela balada em que você deixa seu celular na mão de cada garota que intentou uma paquera? Segundos podem ser suficientes. Quer mais? Vá agora ver a caixa do seu celular e procure uma etiqueta com o código IMEI? O quê? Você jogou a caixa fora?!
Assim, muito embora a operadora possa bloquear um IMEI online logo após autenticação em uma ERB (Estação Rádio Base), o projeto exige que a base de IMEI esteja disponível para consulta no ato, o que certamente vai onerar muito o processo de venda de cartões para celulares.
Por outro lado, ao exigir que os créditos sejam inseridos no momento da compra, necessariamente, o Projeto põe em xeque a utilidade dos cartões, e o direito de recarregar a qualquer tempo os celulares, respeitada a validade dos cartões, direito garantido aos usuários, considerando que para tanto bastaria um clique no sistema do vendedor para que os créditos fossem inseridos. Ora, para que diabos o "cartão"? As operadoras até poderão adorar pois neste caso consumo imediato, significa, invariavelmente, mais consumo!
E neste momento vislumbramos outro problema: como ficarão as banquinhas, resturantes, engraxates, xurupitas e outros que comercializam os cartões? Vão ter que se informatizar para consultar o IMEI dos celulares? Vão ter que investir em equipamentos para recarregar na hora o celular do consumidor? Ou vão sair correndo atrás dos consumidors obrigando-os a inserir os créditos. "Ah, o senhor não saia da minha frente enquanto não raspar este cartão e inserir os créditos, senão eu chamo a polícia!"
Neste cenário, o projeto não é claro se o pretenso comprador de créditos deverá apresentar o terminal ou tão somente informar o IMEI, mas logicamente, não acreditamos que a segunda opção possa ser considerada, por extrema falta de segurança e fiscalização. Ademais, nos termos do projeto, ao ter que inserir os créditos na hora, pode-se imaginar que o comprador necessariamente deva apresentar o equipamento, considerando que tecnicamente, via de regra, os créditos são inseridos no celular o qual a operação é iniciada.
Assim, já podemos imaginar que teremos que exibir nossos celulares para o estabelecimento ou mesmo digitar a função para exibir o IMEI, pois o lojista "mais espertinho" não irá confiar no IMEI anotado em um papel de pão (que pode ser o IMEI do detento, sedento por créditos). E neste ponto finalizo indagando: quem garante que o estabelecimento não possa usar meus dados para o crime? Até que ponto teremos que abrir mão de nossa privacidade informática e confiar nosso terminal, que sabe muito sobre nós, ou códigos pessoais, nas mãos de terceiros, tudo sob o argumento da segurança em relação ao furto de celulares?
É realmente tapar uma lacuna e desproteger outra, oferecendo mais dados, dados, informações, que podem ser utilizados pelo cybercrime na clonagem de cartões, como em muitos casos recentes que tivemos contato [4], o que também deveria ser uma preocupação do legislador brasileiro em um pensamento sistêmico.
Resta a nós consignar a interessante iniciativa da proposta, mas que precisa ser fortemente lapidada pelas Comissões de Ciência e Tecnologia, Comunicação e Informática; de Defesa do Consumidor e, principalmente, Constituição e Justiça e de Cidadania, sob pena de termos mais uma lei inócua sobre tecnologia prestes a ingressar no ordenamento jurídico.
Enquanto isso, façamos um bom seguro.
NOTAS:
[2] http://pt.wikipedia.org/wiki/Phreaking