Análise da Lei 12.737/12 – “Lei Carolina Dieckmann”

O dia 03 de dezembro de 2012 ficou marcado na história pelo substancial avanço legislativo no que concerne à criminalidade informática. As Leis 12.735/12 e 12.737/12 foram sancionadas pela presidente Dilma Rouseff, com a dura missão de estreitar as já mencionadas lacunas existentes na matéria.

 

Uma análise, mesmo que perfunctória, do atual panorama sociológico global, demonstra a grande mudança de paradigmas sociais, e induz a conclusão de uma necessidade de se aprimorar a legislação penal informática, a fim de se evitar a impunidade dos chamados delitos informáticos próprios (aqueles que só podem ser praticados através da internet).

Percebe-se, também, a importância que os sistemas informáticos possuem no atual momento social, ressaltando que a maioria das pessoas, físicas ou jurídicas, dependem do seu dispositivo informatizado, que variam de um simples pendrive ou celular, até um computador com banco de dados sigilosos de uma empresa.

A segurança informática, portanto, entendida como a disponibilidade, confidencialidade eintegridade das informações dos usuários, há tempo já clamava por proteção jurídico-penal. Assim, com o advento das novas leis mencionadas, o usuário das novas tecnologias da informação passam a ficar amparados pela lei, caso venham a sofrer ataques semelhantes ao que que sofreu a atriz Carolina Dieckmann.

À propósito, o caso da atriz Carolina Dieckmann, foi que deu velocidade à tramitação do processo legislativo que deu ensejo à mudança. Em que pese esse não ter sido o primeiro caso de extorsão e divulgação de conteúdo sigiloso na internet, foi o que deu maior repercussão midiática, que, sem dúvidas, é o fundamento da maior parte das ultimas criações legislativas do âmbito penal.

Divulgou-se amplamente que no mês de maio de 2012, fotos da atriz foram divulgadas na internet após terem sido copiadas do seu computador por crackers. Os responsáveis pela divulgação, após copiarem as fotos, extorquiram a vítima para que não expusessem suas imagens na internet, como a mesma não aceitou o trato, as imagens foram divulgadas. Os crackersenvolvidos já foram identificados, presos e certamente processados pelos crimes cometidos.

Apesar de ter sido criada sob o cinematografia da mídia, as novas leis de crimes informáticos não estão em desequilíbrio holístico, pois, vem a satisfazer grande parte das necessidades de criminalização de condutas intoleráveis na Sociedade da Informação.

A lei 12.737/12, portanto, como primeira medida, cria o tipo penal Invasão de dispositivo Informático no art. 154-A do Código Penal com a seguinte redação que entrou em vigor no dia 02 de abril de 2012:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

§ 1^o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

§ 2^o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.

§ 3^o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.

§ 4^o Na hipótese do § 3^o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.

§ 5^o Aumenta-se a pena de um terço à metade se o crime for praticado contra:

I – Presidente da República, governadores e prefeitos;

II – Presidente do Supremo Tribunal Federal;

III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou

IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.”

Importante que se observe cada elementar do crime para que se tenha total noção dos limites da imputação penal. O verbo núcleo do tipo é Invadir, ou seja, entrar sem autorização do proprietário. Analisando a primeira elementar dispositivo informático alheio, pode-se concluir logicamente, que não será punível por este tipo penal, quem viola ou invade dispositivo informático próprio, como acontece correntemente nas violações de códigos fonte de softwares, ou o popular Jailbreak realizado nos aparelhos que usam o sistema iOS para permitir a instalação de aplicativos não autorizados pela fabricante Apple. Essas violações podem ser enquadradas nos ilícitos previstos na Lei 9609/98.

A elementar conectado ou não à rede de computadores, dispensa maiores comentários e aumenta a abrangência do delito. Um pendrive, um celular, um tablet, são exemplos de dispositivos informáticos que podem ser invadidos sem estarem conectados à internet.

Um detalhe importante que deve ser observado, que difere este tipo penal de outros tipos penais comuns, é a elementar mediante violação indevida de mecanismo de segurança. Isso significa que só haverá o crime do Art. 154 do CP se o autor da conduta usar sua habilidade para superar a proteção do sistema informático, por mais simples que ela seja. E se o dispositivo estiver completamente desprotegido? Neste caso a invasão não poderá ser punida por não ter ocorridomediante violação de segurança.

Essa informação precisa chegar aos usuários para que todos possam se proteger ao máximo, com uso de senhas complexas, antivírus, firewall atualizado e original, e sempre evitando as “iscas” deixadas pelos crackers para que o próprio usuário seja o responsável pela abertura de passagens ao sistema informático.

Uma dúvida que já surgiu é relacionada justamente a essa prática do phishing, uma das mais comuns espécies de fraudes informáticas, onde, através da engenharia social, o criminoso faz com que a própria vítima entregue as informações que ele precisa, ou que ela mesmo desabilite sua segurança para que ele possa acessar livremente os dados. Em primeira análise, nesta pesquisa conclui-se que o criminoso poderá ser punido pelo Art. 154 do CP, mesmo que a própria vítima tenha liberado o acesso, ela não agiu de forma consciente, foi induzida à erro, considerando-se, portanto, que houve violação indevida da segurança do computador. Porém, se com a habilidade, o criminoso conseguir que a vítima entregue o conteúdo informático, sem que haja invasão, não há falar em crime por ausência do verbo núcleo do tipo.

O novo tipo penal deixa muito claro o elemento subjetivo quando ressalta que a conduta para ser punível deve ser cometida com o fim de obter, adulterar ou destruir dados ou informações ou instalar vulnerabilidades para obter vantagem ilícita.

Há uma prática comum entre os crackers, em especial os iniciantes (wannabes), que é a de buscar evolução técnica apenas com as invasões, mesmo sem a intenção de obter, adulterar ou destruir dados. A satisfação da conduta restringe-se à conseguir violar a segurança de determinado sistema computacional. Neste caso, pensamos que não há falar em crime de invasão de dispositivo informático, em razão da ausência da finalidade específica exigida pela nova lei.

Com essa previsão de elemento subjetivo específico, percebe-se que o tipo penal faz uma restrição temerária ao horizonte de abrangência da norma. É possível que nessas invasões despretensiosas, o primeiro autor deixe aberta as portas para que um segundo criminoso, sem qualquer ajuste entre os dois, agora com a intenção de obter informações, por exemplo, atue livremente, chegando ao extremo de nem mesmo responder pelo crime, já que ele não violou indevidademente a segurança, ela já estava violada.

Da mesmo forma, a conduta instalar vulnerabilidades, traz sua respectiva finalidade que é a de obter vantagem ilícita. O raciocínio é o mesmo, se a intenção for apenas conseguir deixar o computador vulnerável, não há crime. Isso não significa que a obtenção da vantagem ilícita ou da informação seja imprescindível para a consumação do delito, pois se trata de um delito formal, e esses resultados são mero exaurimento do crime.

Evidente que o legislador quis atender ao princípio da lesividade penal, deixando claro, que não basta só a ação, é imprescindível que haja uma lesão ou ameaça concreta ao bem jurídico. Acontece que, como já demonstramos, vive-se hoje um contexto de relativização desses princípios penais, em especial quanto à lesividade, onde estamos carentes de proteção e não de repressão. Proteger significa evitar que algo danoso lhe aconteça, ou seja, o direito penal deve se antecipar à lesão ou ameaça, foi que denominamos antecipação da tutela penal.

Sem a previsão das elementares subjetivas no tipo em estudo, qualquer invasão mediante violação da segurança e qualquer instalação de vulnerabilidade seria crime do Art. 154-A, assim, os usuários estariam mais protegidos pela norma.

No parágrafo primeiro a lei pretende punir os criadores dos programas que podem ser usados maliciosamente para violar a segurança de sistemas computacionais. Importante hoje que os programadores trabalhem licitamente registrando sempre a finalidade das pesquisas e criação de programas que possuam essa capacidade, e o principal, que mantenham essas armas longe de quem fará mau uso delas.

Neste caso, não se pode questionar a existência da elementar subjetiva no tipo, pois é conhecida a necessidade de criação desse tipo de programa para manter estável a segurança de alguns sistemas. As empresas de segurança da informação precisam, por exemplo, testar a vulnerabilidade do sistema dos seus clientes criando e utilizando esse tipo de ferramenta. Portanto, a criação de um vírus de computador, ou qualquer outro programa capaz de violar a segurança, só será crime se praticado com o intuito de facilitar o crime de invasão.

Se dessas condutas resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido, o crime é qualificado e a pena pode chegar a 2 anos de reclusão ou multa.

Um ponto interessante a ser ressaltado na Invasão qualificada, é o controle remoto do dispositivo invadido. É muito comum hoje a prática do Distributed Denial of Service Attack (Ddos Attack) que tem causado prejuízos incomensuráveis à empresas que perdem o seu sistema por um tempo após um ataque como esses. O detalhe é que o sistema da empresa não é invadido, mas em razão de uma sobrecarga de acesso dos seus recursos num mesmo momento.

Pouco se noticiou, mas o mês de março de 2013 foi marcado pelo maior ataque cibernético da história, e essa (Ddos) foi a técnica utilizada. Também chamada de Ataque de Amplificação, foi somado à um grande conhecimento de estratégias militares e direcionado à uma empresa que combate spams na rede (Spamhaus), o que acabou por atrapalhar o funcionamento da internet em quase todo o mundo. Tem-se notícia que a “guerra” se deu por motivos de disputa empresarial entre duas grandes empresas do ramo.

Isso ocorre quando um cracker instala o seu programa malicioso e vários computadores de vários usuários, que passam a obedecer os comandos do seu “líder”, tornam-se máquinas “zumbis”. Ao seu comando, todos acessam o servidor vítima até que ele esgote sua capacidade de atendimento e trave ou reinicie, causando graves lesões ao seu patrimônio. No ano de 2012, os sites de várias empresas como TAM, GOL, Bancos BRASIL, BRADESCO e outros, foram atacados dessa forma. Muitas não assumem o ataque para não transparecer vulnerabilidade e insegurança aos clientes, mas os prejuízos são milionários.

Apenas o controle remoto configura crime do 154-A. O Ataque pode configurar o crime do Art. 266 do Código Penal, também introduzido pela nova lei, que será comentado adiante.

O tipo ainda prevê causas de aumento de pena quando houver prejuízo econômico ou quando o crime for praticado contra autoridades como governadores, prefeitos e presidente da república.

No Art. 154-B do Código Penal, foi inserida a regra da ação penal do crime de Invasão de Dispositivo Informático. Os crimes definidos no art. 154-A, somente se procederão mediante representação, salvo se for cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos, nestes casos, ela será incondicionada.

Além da criação do novo tipo penal, a lei 12737/12 alterou a redação de dois delitos já existentes, o do Art. 266 e do Art. 298 do Código Penal. Ao Art. 266 foi acrescentado o parágrafo primeiro determinando que Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.

Como alertamos acima, o Ddos tem sido um pesadelo para as empresas no mundo inteiro. O legislador atento para essa realidade, tratou de deixar a legislação pronta para receber essa demanda. Apesar de o Art. 265 do Código Penal já prever punição para atentados a qualquer serviço de utilidade pública, o dispositivo inserido pela nova lei retira qualquer possibilidade de alegação de atipicidade da conduta.

No Art. 298 a alteração foi para equiparar os cartões de crédito à documento particular para fins de tipificação ao caput do artigo.

Evidente que a ciminalização de condutas consideradas perigosas, não tem o condão de extirpa-las definitivamente da nossa sociedade, então é importante que os usuários continuem com muito cuidado na sua navegação pela rede. Crimes como os apresentados aqui só ocorrem com a colaboração do usuário, portanto, o simples fato de não clicar em link que lhe pareça suspeito, já é uma grande contribuição para a redução da criminalidade informática.

AURINEY BRITO – advogado coordenador do setor criminal do Escritório Brito & Santos Advogados Associados. Especialista em Direito Penal e Processo Penal pela Universidade Gama FIlho-RJ, Especialista em Direito Penal Econômico e Europeu pela Universidade de Coimbra – Portugal, Especialista em Direito Penal e Processual Penal pela Escola Paulista de Direito-SP, Mestre em Direito na sociedade da informação pela UniFMU-SP e Doutorando em Direito Penal pela Universidad de Buenos Aires. Palestrante e Professor do curso de Especialização em Direito Penal e Processual Penal da Escola Paulista de Direito-EPD e da Faculdade FAMA no Amapá. Articulista no Site Jurídico Atualidades do Direito. Membro da Comissão de Direito na Sociedade da Informação da OAB-SP. Diretor e Membro efetivo do Instituto dos Advogados do Amapá. Autor de diversos artigos e do livro “Crimes Financeiros e Correlatos” publicado pela Ed. Saraiva.