Símbolo do Jus.com.br Jus.com.br
Artigo Selo Verificado Destaque dos editores

Primeiras impressões sobre a Lei nº 12.737/12 e o crime de invasão de dispositivo informático

Exibindo página 1 de 2
Agenda 23/01/2013 às 15:26

A nova lei instituiu o crime consistente na conduta de invadir computadores, mediante violação e com fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.

1)CONCEITO

A Lei 12.737, de 30 de novembro de 2012, trouxe para o ordenamento jurídico-penal brasileiro o novo crime de “Invasão de Dispositivo Informático”, consistente na conduta de “invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”.

A pena prevista para o crime simples (há forma qualificada e aumentos de pena) é de detenção de 3 meses a um ano e multa.

É interessante notar que a legislação sob comento acabou ganhando o epíteto de “Lei Carolina Dieckmann”, atriz da Rede Globo de televisão que foi vítima de invasão indevida de imagens contidas em sistema informático de natureza privada e cujo episódio acabou acelerando o andamento de projetos que já tramitavam com o fito de regulamentar essas práticas invasivas perpetradas em meios informáticos para modernização do Código Penal Brasileiro. Antes disso, era necessário tentar tipificar as condutas nos crimes já existentes, nem sempre de forma perfeita. A questão, sob esse ponto de vista, é agora solucionada pela Lei 12.737/12.


2)BEM JURÍDICO

O bem jurídico tutelado é a liberdade individual, eis que o tipo penal está exatamente inserido no capítulo que regula os crimes contra a liberdade individual (artigos 146 – 154, CP), em sua Seção IV – Dos Crimes contra a inviolabilidade dos Segredos (artigos  153 a 154 – B, CP). Pode-se afirmar também que é tutelada a privacidade das pessoas (intimidade e vida privada), bem jurídico albergado pela Constituição Federal em seu artigo 5º., X.

Percebe-se, portanto, que a tutela é individual, envolvendo os interesses das pessoas (físicas e/ou jurídicas) implicadas, nada tendo a ver com a proteção à rede mundial de computadores e seu regular funcionamento.

Há muito que se discute sobre a necessidade ou não de erigir normas penais especiais relativas aos delitos informáticos. Seria isso mesmo necessário ou o recurso aos tipos penais tradicionais seria suficiente? Entende-se que o fenômeno informático está a exigir regulamentação especial devido às suas características que divergem de tudo quanto sempre foi usual. Isso se faz sentir claramente em outros ramos do direito como na área civil, processual,  comercial, consumerista, trabalhista, cartorial etc. Por que seria diferente na seara penal?

Agiu, portanto, com correção o legislador ao criar o tipo penal ora em estudo, especialmente considerando o fato de que há tutela de bem jurídico constitucionalmente previsto, como já se explicitou acima.


3)SUJEITOS ATIVO E PASSIVO

O crime é comum, de modo que pode ser sujeito ativo qualquer pessoa. O mesmo se pode dizer com relação ao sujeito passivo.  O funcionário público também pode ser sujeito ativo dessa infração, mas a lei não prevê nenhuma causa de aumento de pena. Pode-se recorrer nesse caso às agravantes genéricas previstas no artigo 61, II, “f” ou “g”, CP, a depender do caso. Também pode ser sujeito passivo a pessoa jurídica. É óbvio que as pessoas jurídicas também podem ter dados ou informações sigilosos abrigados em dispositivos informáticos ligados ou não à rede mundial de computadores, os quais podem ser devassados, adulterados, alterados ou destruídos à revelia da empresa ou do órgão responsável. Isso se torna mais que patente quando se constata previsão de qualificadora para a violação de segredos comerciais ou industriais e informações sigilosas definidas em lei (artigo 154 – A, § 3º., CP), o que deixa claro que podem ser vítimas pessoas jurídicas de direito privado ou público. Entende-se que melhor andaria o legislador se houvesse previsto um aumento de pena para a atuação do funcionário público no exercício das funções, bem como para os casos de violação de dados ou informações ligados a órgãos públicos em geral (administração direta ou indireta).

Também será sujeito passivo do crime qualificado, nos termos do § 3º.  do dispositivo, o titular do conteúdo de “comunicações eletrônicas privadas, segredos comerciais ou industriais ou informações sigilosas, assim definidas em lei”. Percebe-se, como já dito alhures, que as pessoas jurídicas podem ser vítimas, inclusive a administração pública direta ou indireta de qualquer dos entes federativos (União, Estados, Municípios ou Distrito Federal). Podem ainda ser sujeitos passivos empresas privadas concessionárias ou permissionárias de serviços públicos também com relação a qualquer dos entes federativos.

O sujeito passivo da infração é, portanto, qualquer pessoa passível de sofrer dano moral ou material decorrente da ilícita obtenção, adulteração ou destruição de dados ou informações devido à invasão ou violação de seu sistema informático, mediante vulneração de mecanismo de segurança. Assim também é sujeito passivo aquele que sofre a instalação indevida de vulnerabilidades em seu sistema para o fim de obtenção de vantagens ilícitas. São exemplos as atuações em que indivíduos inserem vírus espiões para obter, adulterar ou destruir dados em sistemas informáticos. Importa ressaltar que a vítima não precisa ser a proprietária ou titular do sistema informático ou do hardware ou software invadido pelo criminoso. Na verdade, qualquer pessoa que tenha sua privacidade violada pelo invasor é sujeito passivo da infração. Por exemplo: um amigo usa o computador de outro para conversas particulares via internet, cujo conteúdo é ali armazenado por meio de senha. Alguém invade o sistema informático daquele computador e viola a privacidade, não do dono do computador, mas do seu amigo. Ora, este segundo também é vítima do crime. O mesmo se pode afirmar quanto aos usuários das chamadas “Lans Houses” que sofram o mesmo tipo de violação indevida.


4)TIPO SUBJETIVO

O tipo subjetivo do ilícito é informado somente pelo dolo. Não há previsão de figura culposa. O dolo é específico, pois exige a lei que a violação se dê com o especial fim de “obter, adulterar ou destruir dados ou informações” ou “instalar vulnerabilidades para obter vantagem ilícita”. Note-se que há duas especificidades independentes para o dolo do agente: primeiro o fim especial de “obter, adulterar ou destruir dados ou informações”, sem a exigência de que se pretenda com isso obter vantagem ilícita. Ou seja, nessa parte o tipo penal não requer do agente outra vontade senão aquela de vulnerar o sistema e suas informações ou dados, podendo agir inclusive por mera curiosidade ou bisbilhotice. Já na instalação de vulnerabilidades, o intento tem de ser a obtenção de vantagem ilícita. Como o legislador não foi restritivo, entende-se que a vantagem intencionada pode ser econômico – financeira ou de qualquer outra espécie. Por exemplo, se instalo num computar uma via de acesso a informações para obter senhas bancárias e me locupletar ou se instalo uma vulnerabilidade num computador para saber dos hábitos e preferências de uma mulher desejada para poder conquistá-la o tipo penal está perfeito.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

5)TIPO OBJETIVO

O crime do artigo 154 – A, CP constitui tipo misto alternativo, crime de ação múltipla ou de conteúdo variado, pois que apresenta dois núcleos de conduta (verbos invadir ou instalar), podendo o agente incidir em ambos, desde que num mesmo contexto, e responder por crime único.

Não exige o tipo penal que o dispositivo informático esteja ligado à rede mundial de computadores ou mesmo rede interna empresarial ou institucional (internet ou intranet). Dessa forma estão protegidos os dados e informações constantes de dispositivos de informática e/ou telemática.

A invasão, conforme manda a lei, deve ser de dispositivo informático “alheio” e “mediante violação indevida” de “mecanismo de segurança” (elementos normativos do tipo). É claro que não se poderia incriminar alguém que ingressasse no próprio dispositivo informático; seria como incriminar alguém que subtraísse coisa própria no caso do furto.  Além disso, a violação deve ser “indevida”, ou seja, desautorizada e sem justa causa. Obviamente que o técnico informático que supera mecanismo protetor para consertar aparelhagem não comete crime, inclusive porque tem a autorização expressa ou no mínimo tácita do cliente. Também não comete o crime a Autoridade Policial que apreende mediante ordem judicial aparelhos informáticos e manda periciar seus conteúdos para apuração criminal.

Anote-se, porém, que essa justa causa ou autorização deve existir do início ao fim da conduta do agente e este deve se ater aos seus estritos limites razoáveis. Por exemplo, se um técnico de informática tem a autorização para violar as chaves de acesso a um sistema de alguém para fins de conserto e o faz, mas depois coleta fotos particulares ali armazenadas, corrompe dolosamente informações ou dados  extrapolando os limites de seu trabalho sem autorização do titular, passa a cometer infração penal. É importante ressaltar que, como não existe figura culposa, o erro muito comum em que o técnico em informática, ao realizar um reparo, formata o computador e acaba destruindo conteúdos importantes para a pessoa sem dolo, mas por negligência ou imperícia, não constitui crime. Pode haver, contudo, infração civil passível de indenização por danos morais e/ou materiais. 

Tanto na conduta de invadir o sistema como de instalar vulnerabilidades o crime é formal. Isso porque a eventual obtenção de dados ou informações, adulteração ou destruição, bem como a obtenção de vantagem ilícita constituirão mero exaurimento. O crime estará consumado com a simples invasão ou instalação.

O objeto material da conduta é o “dispositivo informático alheio”. Estes são os computadores pessoais, industriais, comerciais ou institucionais. Além disso, hoje há uma infinidade de dispositivos informáticos, inclusive móveis, tais como os notebooks, tablets, netbooks, celulares com recursos de informática e telemática, Iphones, Smartphones ou quaisquer outros aparelhos que tenham capacidade de armazenar dados ou informações passíveis da violação prevista no tipo penal. É importante notar que o legislador optou por não apresentar uma lista exaustiva dos aparelhos e assim agindo foi sábio. Ao usar a locução “dispositivo informático” de forma genérica, possibilitou a criação adequada de uma norma para a qual é viável uma “interpretação progressiva”, ou seja, o tipo penal do artigo 154 – A, CP é capaz de se atualizar automaticamente sempre que surgir um novo dispositivo informático, o que ocorre quase que diariamente na velocidade espantosa da ciência da computação e das comunicações. Essa espécie de redação possibilitadora de interpretação progressiva é a ideal para essas infrações penais ligadas à informática nos dias atuais, já que, caso contrário, correr-se-ia o risco de que a norma viesse a tornar-se obsoleta no dia seguinte em razão do Princípio da Legalidade Estrita.

É ainda importante ressaltar que não é qualquer dispositivo informático invadido que conta com a proteção legal. Para que haja o crime é necessário que o dispositivo conte com “mecanismo de segurança” (v.g. antivírus, “firewall”, senhas etc.). Assim sendo, o dispositivo informático despido de mecanismo de segurança não pode ser objeto material das condutas incriminadas, já que o crime exige que haja “violação indevida de mecanismo de segurança”. Dessa maneira, a invasão ou instalação de vulnerabilidades em sistemas desprotegidos é fato atípico. Releva observar que na requisição da perícia nesses casos é importante que a autoridade policial formule quesito a fim de que o perito indique a presença de “mecanismo de segurança” no dispositivo informático violado, bem como que esse mecanismo foi violado, indicando, inclusive, se possível, a forma dessa violação, para melhor aferição e descrição do “modus operandi” do agente. 

Sinceramente não se compreende essa desproteção legislativa exatamente aos mais desprotegidos. É como se o legislador considerasse não haver violação de domicílio se alguém invadisse uma casa que estive com as portas abertas e ali permanecesse sem a autorização do morador e mesmo contra a sua vontade expressa! Não parece justo nem racional presumir que quem não instala proteções em seu computador está permitindo tacitamente uma invasão, assim como deixar a porta ou o portão de casa abertos ou destrancados não significa de modo algum que se pretenda permitir a entrada de qualquer pessoa em sua moradia. A forma vinculada disposta no tipo penal (“mediante violação indevida de mecanismo de segurança”) poderia muito bem não ter sido utilizada pelo legislador que somente deveria chamar a atenção para a invasão ou instalação desautorizadas e/ou sem justa causa. Isso seria feito simplesmente com a locução “mediante violação indevida” sem necessidade de menção a mecanismos de segurança.

Observe-se ainda que ao exigir a “violação indevida de mecanismo de segurança”, não bastará a existência de instalação desses mecanismos no dispositivo informático invadido, mas também será necessário que esses mecanismos estejam atuantes no momento da invasão, caso contrário não terá havido sua violação e o fato também será atípico, o que é ainda mais estranho. Explica-se: imagine-se que um computador pessoal é dotado de antivírus, mas por algum motivo esse antivírus foi momentaneamente desativado pelo próprio dono do aparelho. Se há uma invasão nesse momento, o fato é atípico! Note-se que neste caso o exemplo da porta aberta e da invasão de domicílio é realmente muito elucidativo. A casa tem portas, mas estas estão abertas, então as pessoas podem entrar sem a autorização do morador? É claro que não! Mas, parece que com os sistemas informáticos o raciocínio legislativo foi diverso e, diga-se, equivocadíssimo.

Na realidade o ideal, conforme já dito, seria que o legislador incriminasse diretamente somente a invasão ou instalação de vulnerabilidades, independentemente da violação de mecanismo de segurança. Poderia inclusive o legislador criar uma qualificadora ou uma causa especial de aumento pena para o caso de a invasão se dar com a violação de mecanismo de segurança. O desvalor da ação nesse caso seria justificadamente exacerbado como ocorre, por exemplo, no caso de furto qualificado por rompimento de obstáculo à subtração da coisa.

Retomando a questão do bem jurídico, nunca é demais lembrar que o que se protege são a privacidade e a liberdade individuais e não a rede mundial de computadores. Para que haja o crime é necessário que ocorra “invasão” indevida mediante violação de mecanismo de segurança. Dessa forma o acesso a informações disponibilizadas livremente na internet e redes sociais (v.g. Facebook, Orkut etc.), sem qualquer barreira de privacidade não constitui qualquer ilegalidade. Nesse caso há certamente autorização, no mínimo tácita, de quem de direito, ao acesso a todas as suas informações deixadas em aberto na rede.


6)CONSUMAÇÃO E TENTATIVA

O crime é formal e, portanto, se consuma com a mera invasão ou instalação de vulnerabilidade, não importando se são obtidos os fins específicos de coleta, adulteração ou destruição de dados ou informações ou mesmo obtenção de vantagem ilícita. Tais resultados constituem mero exaurimento da infração em estudo. Não obstante formal, o ilícito é plurissubsistente, de forma que admite tentativa. É plenamente possível que uma pessoa tente invadir um sistema ou instalar vulnerabilidades e não o consiga por motivos alheios à sua vontade, seja porque é fisicamente impedida, seja porque não consegue, embora tente violar os mecanismos de proteção.


7)CONDUTA EQUIPARADA (ARTIGO 154 – A, § 1º., CP)

À semelhança do que ocorre com os crimes, por exemplo, previstos nos artigos 34 da Lei 11.343/06, 291 e 294, CP, o legislador prevê também como crime a conduta de quem atua de forma a fornecer ou disponibilizar de qualquer forma instrumentos para a prática do crime previsto no artigo 154-A, CP. Essa previsão legal está no § 1º., do citado artigo, onde se incrimina com a mesma pena do “caput” a conduta de quem “produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput”. Efetivamente tão relevante como invadir ou instalar vulnerabilidades em dispositivo informático é disponibilizar o instrumental necessário para tanto. A equiparação legal das condutas é correta.

Também o § 1º. descreve crime de ação múltipla e de dolo específico, pois que exige o intuito de ensejar a prática das condutas previstas no “caput”.


8)AUMENTO DE PENA POR PREJUÍZO ECONÔMICO (ARTIGO 154 – A,  § 2º., CP)

A ocorrência de prejuízo econômico enseja um aumento de pena de um sexto a um terço. O incremento da lesão patrimonial produz agravamento do desvalor do resultado da conduta, justificando a exacerbação punitiva. O § 2º. é bem claro, de forma que não há se cogitar de aplicação de aumento considerando eventual dano moral. Somente o prejuízo de caráter econômico – financeiro alicerça o aumento. Pretender equipar tal situação ao dano moral constituiria analogia “in malam partem” vedada na seara penal. Também é de se atentar que o aumento de pena do § 2º., até mesmo pela topografia do dispositivo, somente tem aplicabilidade para a figura simples  e a figura equiparada (artigo 154 – A, “caput” e seu § 1º., CP), não alcançando a forma qualificada do § 3º.


9)FORMAS QUALIFICADAS (ARTIGO 154 – A, § 3º., CP)

O § 3º. do dispositivo sob comento prevê uma pena diferenciada de reclusão, de seis meses a dois anos e multa para os seguintes casos:

a)Quando a invasão possibilitar  a obtenção de conteúdo de comunicações eletrônicas privadas;

b)Quando possibilitar a obtenção do conteúdo  de segredos comerciais ou industriais

c)Quando possibilitar a obtenção do conteúdo de informações sigilosas, assim definidas em lei

d)Quando possibilitar  o controle remoto não autorizado do dispositivo invadido.

A primeira observação de valia diz respeito à percepção de que o legislador transforma em qualificadoras fatos que seriam exaurimento do crime formal do artigo 154 – A, “caput”, CP. Para a configuração do crime simples de “Invasão de Dispositivo Informático” bastaria a invasão ou instalação de vulnerabilidade, sendo que a obtenção de outros dados ou informações ou mesmo destruição, adulteração ou vantagens ilícitas constituem exaurimento. Então, em geral, quando o agente conseguir obter dados ou informações efetivamente com a invasão ou vulneração haverá figura qualificada.

O primeiro caso diz respeito a “comunicações eletrônicas privadas” como, por exemplo, troca de e-mails, mensagens SMS, conversas reservadas em redes sociais ou salas de bate – papo da internet, trocas de fotos, imagens ou vídeos privados.

Na segunda figura está previsto o caso de violação de segredos comerciais ou industriais, o que justifica a exacerbação punitiva, dados os interesses econômicos e negociais que podem ser prejudicados. É irrelevante que os segredos sobreditos possam ser abertos devido a previsões contratuais de validade temporal do sigilo ou mesmo outras condições específicas. Se essas condições temporais ou de outra natureza não estiverem satisfeitas, o invasor responde pelo crime qualificado. Digamos, por exemplo, que uma empresa pactue que um segredo industrial será preservado por 20 anos e após esse período será aberto ao público e tornado inclusive de domínio público. A violação antes do prazo estipulado é crime qualificado. O mesmo se pode dizer se esse segredo fosse mantido, mediante a condição do adimplemento do pagamento de determinado valor em prestações. Se o adquirente do segredo, faltando ainda a última prestação a pagar, violar o sigilo sem autorização cometerá crime qualificado.

Já na terceira figura está previsto a acesso a informações sigilosas, “assim definidas em lei” (quando o texto se refere a lei não pode haver equiparação a outras espécies normativas como decretos, portarias, resoluções etc., trata-se de lei em sentido estrito). Aqui se tratam de informações protegidas por sigilo legal e naturalmente ligadas a órgãos governamentais, inclusive por questões de segurança nacional. Essa figura é uma “norma penal em branco imprópria ou homogênea”, pois que exige para seu complemento e aplicabilidade o recurso a outra lei que defina quais são as informações consideradas sigilosas. Ademais se trata de “norma penal em branco imprópria heterovitelina”, pois que o complemento necessário deverá ser buscado em outra lei e não no próprio Código Penal.  [1] Hoje regulamenta a questão do acesso a informações sigilosas em todos os âmbitos federativos a Lei 12.527, de 18 de novembro de 2011.

Finalmente há previsão do caso em que a invasão enseje o “controle remoto não autorizado do dispositivo” violado. Trata-se denominada operação de “acesso remoto” que pode ser implantada legalmente e deliberadamente em empresas, por exemplo, por via de um programa chamado “Team Viewer”, o qual possibilita que uma equipe de trabalho tenha acesso, inclusive visual e operacional em tempo real a tudo aquilo que outros colegas estão fazendo em máquinas diversas. Entretanto, tal acesso remoto pode ser realizado de forma clandestina por meio de invasão por um vírus Trojan e então possibilitar ao invasor a manipulação de dados, informações, bem como até mesmo de ações no sistema informático alheio sem ciência ou autorização de quem de direito. Imagine-se que alguém consiga invadir um sistema de uma financeira por acesso remoto e dali excluir débitos de pessoas ou seus próprios débitos.

Em todos os casos qualificados pelo legislador há certamente um notável incremento do desvalor do resultado.  Não importa se os segredos violados com a invasão estão armazenados no dispositivo informático por conteúdos de imagens, gravações de voz, documento escrito, desenhos, símbolos etc. O que importa é que o sigilo seja violado. Também não interessa se da violação ocorre efetivo dano material ou moral. Aliás, com relação ao eventual dano material (econômico), como já dito anteriormente, não é aplicável a causa de aumento do § 2º., que se destina somente ao “caput” e § 1º.. Portanto, eventual dano decorrente das violações sobreditas caracterizará mero exaurimento no “iter criminis”.

Ressalte-se que as figuras qualificadas do § 3º., do artigo 154 – A, CP configuram crime subsidiário, de subsidiariedade expressa, pois que em seu preceito secundário prevê a norma que ela somente será aplicada  “se a conduta não constitui crime mais grave”. Seriam exemplos de crimes mais graves a violação de sigilo bancário ou de instituição financeira nos termos do artigo 18 da Lei 7.492/86, bem como determinadas condutas previstas na Lei de Segurança Nacional (v.g. artigos 13 e 21 da Lei 7.170/83).

Sobre o autor
Eduardo Luiz Santos Cabette

Delegado de Polícia Aposentado. Mestre em Direito Ambiental e Social. Pós-graduado em Direito Penal e Criminologia. Professor de Direito Penal, Processo Penal, Medicina Legal, Criminologia e Legislação Penal e Processual Penal Especial em graduação, pós - graduação e cursos preparatórios. Membro de corpo editorial da Revista CEJ (Brasília). Membro de corpo editorial da Editora Fabris. Membro de corpo editorial da Justiça & Polícia.

Como citar este texto (NBR 6023:2018 ABNT)

CABETTE, Eduardo Luiz Santos. Primeiras impressões sobre a Lei nº 12.737/12 e o crime de invasão de dispositivo informático. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 18, n. 3493, 23 jan. 2013. Disponível em: https://jus.com.br/artigos/23522. Acesso em: 23 dez. 2024.

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!