1 – INTRODUÇÃO
O presente trabalho tem por objetivo tecer os primeiros comentários acerca da Lei 14.155/21 que promoveu alterações no Código Penal e no Código de Processo Penal Brasileiros.
Seguindo a ordem topográfica do Código Penal e da Lei 14.155/21, serão abordadas as modificações levadas a efeito no crime de Invasão de Dispositivo Informático, no crime de Furto, com a criação de nova qualificadora do chamado “Furto Eletrônico Mediante Fraude”, no crime de Estelionato, relativamente à nova forma qualificada do “Estelionato Eletrônico” ou “Fraude Eletrônica” e, finalmente, com relação à alteração promovida no Código de Processo Penal a respeito da competência para processo e julgamento de crimes de estelionato perpetrados mediante depósitos, emissão de cheques sem fundos ou com pagamento frustrado e mediante transferências de valores.
2 – A NOVA REDAÇÃO DO CRIME DE “INVASÃO DE DISPOSITIVO INFORMÁTICO” (ARTIGO 154 – A, CP)
A respeito do crime de “Invasão de Dispositivo Informático” já se havia comentado sobre seus contornos, quando da edição da Lei 12.737/12, [1] restando ajustar tais comentários antecedentes à atual redação dada pela Lei 14.155/21:
2.1 - CONCEITO
A Lei 12.737, de 30 de novembro de 2012 trouxe para o ordenamento jurídico – penal brasileiro o crime de “Invasão de Dispositivo Informático”, então consistente na conduta de “invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”.
Agora vem a lume a Lei 14.155/21 que altera sensivelmente a descrição típica, nos seguintes termos: “invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita”.
A pena prevista para o crime simples (há forma qualificada e aumentos de pena) era originalmente de detenção de 3 meses a um ano e multa, agora, com o advento da Lei 14.155/21 passa a pena a ser de “reclusão, de 1 (um) a 4 (quatro) anos, e multa, ocorrendo um considerável incremento punitivo.
É interessante notar que a lei original (Lei 12.737/12) sob comento acabou ganhando o epíteto de “Lei Carolina Dieckmann”, atriz da Rede Globo de televisão que foi vítima de invasão indevida de imagens contidas em sistema informático de natureza privada e cujo episódio acabou acelerando o andamento de projetos que já tramitavam com o fito de regulamentar essas práticas invasivas perpetradas em meios informáticos para modernização do Código Penal Brasileiro. Antes disso, era necessário tentar tipificar as condutas nos crimes já existentes, nem sempre de forma perfeita. A questão, sob esse ponto de vista, foi então solucionada pela Lei 12.737/12, que agora se pretende aperfeiçoar por meio da Lei 14.155/21.
2.2 - BEM JURÍDICO
O bem jurídico tutelado é a liberdade individual, eis que o tipo penal está exatamente inserido no capítulo que regula os crimes contra a liberdade individual (artigos 146 – 154, CP), em sua Seção IV – Dos Crimes contra a inviolabilidade dos Segredos (artigos 153 a 154 – B, CP). Pode-se afirmar também que é tutelada a privacidade das pessoas (intimidade e vida privada), bem jurídico albergado pela Constituição Federal em seu artigo 5º., X.
Percebe-se, portanto, que a tutela é individual, envolvendo os interesses das pessoas (físicas e/ou jurídicas) implicadas, nada tendo a ver com a proteção à rede mundial de computadores e seu regular funcionamento.
Há muito que se discute sobre a necessidade ou não de erigir normas penais especiais relativas aos delitos informáticos. Seria isso mesmo necessário ou o recurso aos tipos penais tradicionais seria suficiente? Entende-se que o fenômeno informático está a exigir regulamentação especial devido às suas características que divergem de tudo quanto sempre foi usual. Isso se faz sentir claramente em outros ramos do direito como na área civil, processual, comercial, consumerista, trabalhista, cartorial etc. Por que seria diferente na seara penal?
Agiu, portanto, com correção o legislador ao criar o tipo penal ora em estudo, especialmente considerando o fato de que há tutela de bem jurídico constitucionalmente previsto, como já se explicitou acima. Seguir em seu aperfeiçoamento por intermédio da Lei 14.155/21, inobstante eventuais equívocos, é também uma atitude louvável do legislador, ao menos em sua intenção de melhorar as normativas existentes sobre o tema.
2.3 - SUJEITOS ATIVO E PASSIVO
O crime é comum, de modo que pode ser sujeito ativo qualquer pessoa. O mesmo se pode dizer com relação ao sujeito passivo. O funcionário público também pode ser sujeito ativo dessa infração, mas a lei não prevê nenhuma causa de aumento de pena. Pode-se recorrer nesse caso às agravantes genéricas previstas no artigo 61, II, “f” ou “g”, CP, a depender do caso. Também pode ser sujeito passivo a pessoa jurídica. É óbvio que as pessoas jurídicas também podem ter dados ou informações sigilosos abrigados em dispositivos informáticos ligados ou não à rede mundial de computadores, os quais podem ser devassados, adulterados, alterados ou destruídos à revelia da empresa ou do órgão responsável. Isso se torna mais que patente quando se constata previsão de qualificadora para a violação de segredos comerciais ou industriais e informações sigilosas definidas em lei (artigo 154 – A, § 3º., CP), o que deixa claro que podem ser vítimas pessoas jurídicas de direito privado ou público. Entende-se que melhor andaria o legislador se houvesse previsto um aumento de pena para a atuação do funcionário público no exercício das funções, bem como para os casos de violação de dados ou informações ligados a órgãos públicos em geral (administração direta ou indireta), embora em algumas situações tal lacuna possa acabar sendo indiretamente preenchida pelo aumento previsto nos casos do artigo 154 – A, § 5º., CP que, ao tutelar certos agentes, acabará também abrangendo por ricochete a administração pública. Essa oportunidade de criação de aumentos específicos foi perdida pela Lei 14.155/21, talvez até mesmo devido à conformação do legislador com a proteção indireta já conferida pelo § 5º., do artigo 154 – A, CP.
Também será sujeito passivo do crime qualificado, nos termos do § 3º. do dispositivo, o titular do conteúdo de “comunicações eletrônicas privadas, segredos comerciais ou industriais ou informações sigilosas, assim definidas em lei”. Percebe-se, como já dito alhures, que as pessoas jurídicas podem ser vítimas, inclusive a administração pública direta ou indireta de qualquer dos entes federativos (União, Estados, Municípios ou Distrito Federal). Podem ainda ser sujeitos passivos empresas privadas concessionárias ou permissionárias de serviços públicos também com relação a qualquer dos entes federativos.
O sujeito passivo da infração é, portanto, qualquer pessoa passível de sofrer dano moral ou material decorrente da ilícita obtenção, adulteração ou destruição de dados ou informações devido à invasão ou violação de seu sistema informático. Assim também é sujeito passivo aquele que sofre a instalação indevida de vulnerabilidades em seu sistema para o fim de obtenção de vantagens ilícitas. São exemplos as atuações em que indivíduos inserem vírus espiões para obter, adulterar ou destruir dados em sistemas informáticos. Importa ressaltar que a vítima não precisa ser a proprietária ou titular do sistema informático ou do hardware ou software invadido pelo criminoso. Na verdade, qualquer pessoa que tenha sua privacidade violada pelo invasor é sujeito passivo da infração. Por exemplo: um amigo usa o computador de outro para conversas particulares via internet, cujo conteúdo é ali armazenado por meio de senha. Alguém invade o sistema informático daquele computador e viola a privacidade, não do dono do computador, mas do seu amigo. Ora, este segundo também é vítima do crime. O mesmo se pode afirmar quanto aos usuários das chamadas “Lans Houses” que sofram o mesmo tipo de violação indevida. Essa amplitude quanto ao sujeito passivo que não necessariamente precisa ser o titular, dono ou proprietário do dispositivo, tornou-se ainda mais evidente com a alteração da redação feita pela Lei 14.155/21, já que agora não se refere mais a “dispositivo informático alheio” ou ao “titular do dispositivo”, mas sim a dispositivo “de uso alheio” e a “usuário do dispositivo”. Anote-se que a nosso ver mesmo sob a redação anterior, essas pessoas que sofriam violações em sua intimidade seriam vítimas. Mas, agora, com mais precisão, o legislador acaba com qualquer espécie de controvérsia.
Interessante a observação de Gilaberte e Montez:
Mesmo o proprietário do dispositivo pode praticar o crime, desde que esse dispositivo esteja cedido ao uso de outrem. Frise-se que a norma, ao mencionar a ausência de autorização, já não fala em “titular do dispositivo”, concatenando-se com a nova dinâmica delitiva. [2]
Em suma, tanto para definição do sujeito passivo possível do crime em estudo, quanto para a mesma definição do sujeito ativo, o que importa não é a propriedade ou titularidade do dispositivo, mas sim o fato de que o usuário não tenha autorizado o acesso.
2.4 - TIPO SUBJETIVO
O tipo subjetivo do ilícito é informado somente pelo dolo. Não há previsão de figura culposa. O dolo é específico, pois exige a lei que a violação se dê com o especial fim de “obter, adulterar ou destruir dados ou informações” ou “instalar vulnerabilidades para obter vantagem ilícita”. Note-se que há duas especificidades independentes para o dolo do agente: primeiro o fim especial de “obter, adulterar ou destruir dados ou informações”, sem a exigência de que se pretenda com isso obter vantagem ilícita. Ou seja, nessa parte o tipo penal não requer do agente outra vontade senão aquela de vulnerar o sistema e suas informações ou dados, podendo agir inclusive por mera curiosidade ou bisbilhotice. Já na instalação de vulnerabilidades, o intento tem de ser a obtenção de vantagem ilícita. Como o legislador não foi restritivo entende-se que a vantagem intencionada pode ser econômico – financeira ou de qualquer outra espécie. Por exemplo, se instalo num computar uma via de acesso a informações para obter senhas bancárias e me locupletar ou se instalo uma vulnerabilidade num computador para saber dos hábitos e preferências de uma mulher desejada para poder conquistá-la o tipo penal está perfeito.
2.5 - TIPO OBJETIVO
O crime do artigo 154 – A, CP constitui tipo misto alternativo, crime de ação múltipla ou de conteúdo variado, pois que apresenta dois núcleos de conduta (verbos invadir ou instalar), podendo o agente incidir em ambos, desde que num mesmo contexto, e responder por crime único.
Não exige o tipo penal que o dispositivo informático esteja ligado à rede mundial de computadores ou mesmo rede interna empresarial ou institucional (internet ou intranet). Dessa forma estão protegidos os dados e informações constantes de dispositivos de informática e/ou telemática.
A invasão era, antes da reforma, especificamente de dispositivo informático “alheio” e “mediante violação indevida” de “mecanismo de segurança” (antigos elementos normativos do tipo). Atualmente, como já dito, basta que a invasão se dê em dispositivo “de uso alheio”, não há mais nem mesmo a hipótese de se entender que somente seria tutelado o proprietário e/ou titular do dispositivo. Outra alteração muito bem vinda foi a de que não se exige mais a violação de “mecanismo de segurança”, bastando a invasão do dispositivo (vide Lei 14.155/21).
Por outro lado, é claro que não se poderia incriminar alguém que ingressasse no próprio dispositivo informático ou hoje também em um dispositivo de seu uso legítimo; seria como incriminar alguém que subtraísse coisa própria no caso do furto. Além disso, a violação deve ser “indevida”, ou seja, desautorizada e sem justa causa. Obviamente que o técnico informático que tem acesso ao dispositivo para consertar aparelhagem não comete crime, inclusive porque tem a autorização expressa ou no mínimo tácita do cliente. Também não comete o crime a Autoridade Policial que apreende mediante ordem judicial aparelhos informáticos e manda periciar seus conteúdos para apuração criminal.
Anote-se, porém, que essa justa causa ou autorização deve existir do início ao fim da conduta do agente e este deve se ater aos seus estritos limites razoáveis. Por exemplo, se um técnico de informática tem a autorização para violar as chaves de acesso a um sistema de alguém para fins de conserto e o faz, mas depois coleta fotos particulares ali armazenadas, corrompe dolosamente informações ou dados extrapolando os limites de seu trabalho sem autorização do titular, passa a cometer infração penal. É importante ressaltar que, como não existe figura culposa, o erro muito comum em que o técnico em informática, ao realizar um reparo, formata o computador e acaba destruindo conteúdos importantes para a pessoa sem dolo, mas por negligência ou imperícia, não constitui crime. Pode haver, contudo, infração civil passível de indenização por danos morais e/ou materiais.
Tanto na conduta de invadir o sistema como de instalar vulnerabilidades o crime é formal. Isso porque a eventual obtenção de dados ou informações, adulteração ou destruição, bem como a obtenção de vantagem ilícita constituirão mero exaurimento. O crime estará consumado com a simples invasão ou instalação.
O objeto material da conduta é o “dispositivo informático de uso alheio”. Estes são os computadores pessoais, industriais, comerciais ou institucionais. Além disso, hoje há uma infinidade de dispositivos informáticos, inclusive móveis, tais como os notebooks, tablets, netbooks, celulares com recursos de informática e telemática, Iphones, Smartphones ou quaisquer outros aparelhos que tenham capacidade de armazenar dados ou informações passíveis da violação prevista no tipo penal. É importante notar que o legislador optou por não apresentar uma lista exaustiva dos aparelhos e assim agindo foi sábio.
Gilaberte e Montez chamam a atenção para o fato relevante de que a locução “dispositivo informático” não se reduz a “hardware”, mas também abrange “softwares” que “trabalham com dados que são armazenados em servidores, que são dispositivos informáticos de uso alheio”. Exemplificam com o acesso não autorizado a arquivos em “nuvem”. Nesses casos, mesmo não havendo invasão de um dispositivo da vítima, haverá a violação de dispositivo do “servidor da empresa” prestadora do serviço, o qual, por seu turno, é de uso do prejudicado. [3]
Ao usar a locução “dispositivo informático” de forma genérica, possibilitou a criação adequada de uma norma para a qual é viável uma “interpretação progressiva”, ou seja, o tipo penal do artigo 154 – A, CP é capaz de se atualizar automaticamente sempre que surgir um novo dispositivo informático, o que ocorre quase que diariamente na velocidade espantosa da ciência da computação e das comunicações. Essa espécie de redação possibilitadora de interpretação progressiva é a ideal para essas infrações penais ligadas à informática nos dias atuais, já que, caso contrário, correr-se-ia o risco de que a norma viesse a tornar-se obsoleta no dia seguinte em razão do Princípio da Legalidade Estrita.
Sob a égide da redação original da Lei 12.737/12 não era qualquer dispositivo informático invadido que contava com a proteção legal. Para que houvesse o crime era necessário que o dispositivo contasse com “mecanismo de segurança” (v.g. antivírus, “firewall”, senhas etc.). Assim sendo, o dispositivo informático despido de mecanismo de segurança não podia ser objeto material das condutas incriminadas, já que o crime exigia que houvesse “violação indevida de mecanismo de segurança”. Dessa maneira, a invasão ou instalação de vulnerabilidades em sistemas desprotegidos era fato atípico. Observava-se na época que na requisição da perícia nesses casos era importante que a autoridade policial formulasse quesito a fim de que o perito indicasse a presença de “mecanismo de segurança” no dispositivo informático violado, bem como que esse mecanismo teria sido violado, indicando, inclusive, se possível, a forma dessa violação, para melhor aferição e descrição do “modus operandi” do agente. Atualmente, com o advento da Lei 14.155/21, eliminando a exigência de mecanismos de proteção, sob o ponto de vista da comprovação de um elemento do tipo penal, tal quesitação não seria mais necessária. No entanto, entende-se que ainda deva ser procedida no que tange à devida descrição do “modus operandi” do agente, bem como com relevância para a avaliação da culpabilidade, já que a superação de um mecanismo de proteção certamente revela uma circunstância apreciável na dosimetria da pena – base, nos termos do artigo 59, CP. Fazendo uma comparação, não é idêntica a reprovabilidade de alguém que invade, embora contra a vontade ou sem a autorização do morador, o domicílio alheio quando encontra a porta escancarada, e outra pessoa que para invadir, precisa pular um muro ou quebrar um cadeado.
Vale ressaltar que a retirada da exigência de “violação de mecanismo de proteção” foi uma excelente medida tomada pelo legislador no bojo da Lei 14.155/21. Um dos Projetos de Lei que deu origem a esse aperfeiçoamento do dispositivo, tornando-o mais eficaz e abrangente (PL n. 4093/2015) [4] já fazia na época menção à nossa crítica a respeito da inconveniência dessa restrição em publicação que tratava ainda da Lei 12.737/12:
Sinceramente não se compreende essa desproteção legislativa exatamente aos mais desprotegidos. É como se o legislador considerasse não haver violação de domicílio se alguém invadisse uma casa que estive com as portas abertas e ali permanecesse sem a autorização do morador e mesmo contra a sua vontade expressa! Não parece justo nem racional presumir que quem não instala proteções em seu computador está permitindo tacitamente uma invasão, assim como deixar a porta ou o portão de casa abertos ou destrancados não significa de modo algum que se pretenda permitir a entrada de qualquer pessoa em sua moradia. A forma vinculada disposta no tipo penal (“mediante violação indevida de mecanismo de segurança”) poderia muito bem não ter sido utilizada pelo legislador que somente deveria chamar a atenção para a invasão ou instalação desautorizadas e/ou sem justa causa. Isso seria feito simplesmente com a locução “mediante violação indevida” sem necessidade de menção a mecanismos de segurança.
Observe-se ainda que ao exigir a “violação indevida de mecanismo de segurança”, não bastará a existência de instalação desses mecanismos no dispositivo informático invadido, mas também será necessário que esses mecanismos estejam atuantes no momento da invasão, caso contrário não terá havido sua violação e o fato também será atípico, o que é ainda mais estranho. Explica-se: imagine-se que um computador pessoal é dotado de antivírus, mas por algum motivo esse antivírus foi momentaneamente desativado pelo próprio dono do aparelho. Se há uma invasão nesse momento, o fato é atípico! Note-se que neste caso o exemplo da porta aberta e da invasão de domicílio é realmente muito elucidativo. A casa tem portas, mas estas estão abertas, então as pessoas podem entrar sem a autorização do morador? É claro que não! Mas, parece que com os sistemas informáticos o raciocínio legislativo foi diverso e, diga-se, equivocadíssimo.
Na realidade o ideal, conforme já dito, seria que o legislador incriminasse diretamente somente a invasão ou instalação de vulnerabilidades, independentemente da violação de mecanismo de segurança. Poderia inclusive o legislador criar uma qualificadora ou uma causa especial de aumento pena para o caso de a invasão se dar com a violação de mecanismo de segurança. O desvalor da ação nesse caso seria justificadamente exacerbado como ocorre, por exemplo, no caso de furto qualificado por rompimento de obstáculo à subtração da coisa. [5]
Percebe-se que nossa crítica foi devidamente acatada pela legislação (Lei 14.155/21) ao retirar a exigência de violação de mecanismo protetivo do tipo penal. Perdeu-se, porém, a chance de prever como aumento de pena a conduta em que o agente efetivamente viola mecanismo de proteção existente. No Projeto de Lei 4093/15, a que já se fez menção, havia a previsão desse aumento no que seria um § 4º. do artigo 154 – A, o qual, infelizmente, nunca se converteu em lei. O aumento seria de um terço até a metade “se o acesso” se desse “mediante violação de mecanismo de segurança”. Na verdade, o projeto acatava nossas duas críticas, tanto a negativa, referente à necessidade de eliminação da exigência de mecanismos de segurança violados, como a positiva, consistente na proposta de exacerbação punitiva quando esse tipo de violação ocorresse. Mas, a Lei 14.155/21 somente concretizou a eliminação da exigência de violação de mecanismo de segurança, o que já é um progresso.
Retomando a questão do bem jurídico, nunca é demais lembrar que o que se protege são a privacidade e a liberdade individuais e não a rede mundial de computadores. Para que haja o crime é necessário que ocorra “invasão” indevida. Dessa forma o acesso a informações disponibilizadas livremente na internet e redes sociais (v.g. Facebook, Orkut, Instagram, Telegram, Twitter, GETTR etc.), sem qualquer barreira de privacidade não constitui qualquer ilegalidade. Nesse caso há certamente autorização, no mínimo tácita, de quem de direito, ao acesso a todas as suas informações deixadas em aberto na rede.
2.6 - CONSUMAÇÃO E TENTATIVA
O crime é formal e, portanto, se consuma com a mera invasão ou instalação de vulnerabilidade, não importando se são obtidos os fins específicos de coleta, adulteração ou destruição de dados ou informações ou mesmo obtenção de vantagem ilícita. Tais resultados constituem mero exaurimento da infração em estudo. Não obstante formal, o ilícito é plurissubsistente, de forma que admite tentativa. É plenamente possível que uma pessoa tente invadir um sistema ou instalar vulnerabilidades e não o consiga por motivos alheios à sua vontade, seja porque é fisicamente impedida, seja porque não consegue, embora tente violar os mecanismos de proteção eventualmente presentes.
2.7 - CONDUTA EQUIPARADA (ARTIGO 154 – A, § 1º., CP)
À semelhança do que ocorre com os crimes, por exemplo, previstos nos artigos 34 da Lei 11.343/06, 291 e 294, CP, o legislador prevê também como crime a conduta de quem atua de forma a fornecer ou disponibilizar de qualquer forma instrumentos para a prática do crime previsto no artigo 154-A, CP. Essa previsão legal está no § 1º., do citado artigo, onde se incrimina com a mesma pena do “caput” a conduta de quem “produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput”. Efetivamente tão relevante como invadir ou instalar vulnerabilidades em dispositivo informático é disponibilizar o instrumental necessário para tanto. A equiparação legal das condutas é correta.
Também o § 1º. descreve crime de ação múltipla e de dolo específico, pois que exige o intuito de ensejar a prática das condutas previstas no “caput”.
A Lei 14.155/21 não promoveu qualquer alteração nesse § 1º.
2.8 - AUMENTO DE PENA POR PREJUÍZO ECONÔMICO (ARTIGO 154 – A, § 2º., CP)
A ocorrência de prejuízo econômico ensejava um aumento de pena de um sexto a um terço, agora o aumento é maior, variando de um terço a dois terços, conforme estabeleceu a Lei 14.155/21. Em se tratando de “novatio legis in pejus”, o atual patamar de aumento somente pode ser aplicado para crimes ocorridos após a vigência da norma modificadora, não contando, portanto, com retroatividade. Para casos ocorridos antes da vigência da Lei 14.155/21, o acréscimo continuará sendo de um sexto a um terço.
O incremento da lesão patrimonial produz agravamento do desvalor do resultado da conduta, justificando a exacerbação punitiva. O § 2º. é bem claro, de forma que não há se cogitar de aplicação de aumento considerando eventual dano moral. Somente o prejuízo de caráter econômico – financeiro alicerça o aumento. Pretender equipar tal situação ao dano moral constituiria analogia “in malam partem” vedada na seara penal. Ademais, é de considerar que o dano moral é praticamente inerente a esse tipo de conduta invasiva da privacidade e intimidade e mesmo que pretendesse o legislador prever aumento por esse motivo não poderia, pois que estaria configurado indevido “bis in idem”. Também é de se atentar que o aumento de pena do § 2º., até mesmo pela topografia do dispositivo, somente tem aplicabilidade para a figura simples e a figura equiparada (artigo 154 – A, “caput” e seu § 1º., CP), não alcançando a forma qualificada do § 3º.
2.9 - FORMAS QUALIFICADAS (ARTIGO 154 – A, § 3º., CP)
O § 3º. do dispositivo sob comento previa uma pena diferenciada de reclusão, de seis meses a dois anos e multa e agora, com a Lei 14.155/15, prevê uma pena de “reclusão, de 2 (dois) a 5 (cinco) anos, e multa” para os seguintes casos:
a) Quando a invasão possibilitar a obtenção de conteúdo de comunicações eletrônicas privadas;
b) Quando possibilitar a obtenção do conteúdo de segredos comerciais ou industriais;
c) Quando possibilitar a obtenção do conteúdo de informações sigilosas, assim definidas em lei;
d) Quando possibilitar o controle remoto não autorizado do dispositivo invadido.
A primeira observação de valia diz respeito à percepção de que o legislador transforma em qualificadoras fatos que seriam exaurimento do crime formal do artigo 154 – A, “caput”, CP. Para a configuração do crime simples de “Invasão de Dispositivo Informático” bastaria a invasão ou instalação de vulnerabilidade, sendo que a obtenção de outros dados ou informações ou mesmo destruição, adulteração ou vantagens ilícitas constituem exaurimento. Então, em geral, quando o agente conseguir obter dados ou informações efetivamente com a invasão ou vulneração haverá figura qualificada.
O primeiro caso diz respeito a “comunicações eletrônicas privadas” como, por exemplo, troca de e-mails, mensagens SMS, conversas reservadas em redes sociais ou salas de bate – papo da internet, trocas de fotos, imagens ou vídeos privados.
Na segunda figura está previsto o caso de violação de segredos comerciais ou industriais, o que justifica a exacerbação punitiva, dados os interesses econômicos e negociais que podem ser prejudicados. É irrelevante que os segredos sobreditos possam ser abertos devido a previsões contratuais de validade temporal do sigilo ou mesmo outras condições específicas. Se essas condições temporais ou de outra natureza não estiverem satisfeitas, o invasor responde pelo crime qualificado. Digamos, por exemplo, que uma empresa pactue que um segredo industrial será preservado por 20 anos e após esse período será aberto ao público e tornado inclusive de domínio público. A violação antes do prazo estipulado é crime qualificado. O mesmo se pode dizer se esse segredo fosse mantido, mediante a condição do adimplemento do pagamento de determinado valor em prestações. Se o adquirente do segredo, faltando ainda a última prestação a pagar, violar o sigilo sem autorização cometerá crime qualificado.
Já na terceira figura está previsto a acesso a informações sigilosas, “assim definidas em lei” (quando o texto se refere a lei não pode haver equiparação a outras espécies normativas como decretos, portarias, resoluções etc., trata-se de lei em sentido estrito). Aqui se tratam de informações protegidas por sigilo legal e naturalmente ligadas a órgãos governamentais, inclusive por questões de segurança nacional. Essa figura é uma “norma penal em branco imprópria ou homogênea”, pois que exige para seu complemento e aplicabilidade o recurso a outra lei que defina quais são as informações consideradas sigilosas. Ademais se trata de “norma penal em branco imprópria heterovitelina”, pois que o complemento necessário deverá ser buscado em outra lei e não no próprio Código Penal. [6] Hoje regulamenta a questão do acesso a informações sigilosas em todos os âmbitos federativos a Lei 12.527, de 18 de novembro de 2011.
Finalmente há previsão do caso em que a invasão enseje o “controle remoto não autorizado do dispositivo” violado. Trata-se denominada operação de “acesso remoto” que pode ser implantada legalmente e deliberadamente em empresas, por exemplo, por via de um programa chamado “Team Viewer”, o qual possibilita que uma equipe de trabalho tenha acesso, inclusive visual e operacional em tempo real a tudo aquilo que outros colegas estão fazendo em máquinas diversas. Entretanto, tal acesso remoto pode ser realizado de forma clandestina por meio de invasão por um vírus Trojan e então possibilitar ao invasor a manipulação de dados, informações, bem como até mesmo de ações no sistema informático alheio sem ciência ou autorização de quem de direito. Imagine-se que alguém consiga invadir um sistema de uma financeira por acesso remoto e dali excluir débitos de pessoas ou seus próprios débitos.
Em todos os casos qualificados pelo legislador há certamente um notável incremento do desvalor do resultado. Não importa se os segredos violados com a invasão estão armazenados no dispositivo informático por conteúdos de imagens, gravações de voz, documento escrito, desenhos, símbolos etc. O que importa é que o sigilo seja violado. Também não interessa se da violação ocorre efetivo dano material ou moral. Aliás, com relação ao eventual dano material (econômico), como já dito anteriormente, não é aplicável a causa de aumento do § 2º., que se destina somente ao “caput” e § 1º.. Portanto, eventual dano decorrente das violações sobreditas caracterizará mero exaurimento no “iter criminis”.
Ressalte-se que as figuras qualificadas do § 3º., do artigo 154 – A, CP configuram crime subsidiário. Na redação original dada pela Lei 12.737/12 eram de subsidiariedade expressa, pois que em seu preceito secundário previam que somente seriam aplicadas “se a conduta não” constituísse “crime mais grave”. Com o advento da Lei 14.155/15, foi eliminada essa indicação de subsidiariedade expressa, mas isso não faz com que não permaneça a característica subsidiária, apenas agora de forma tácita. [7] Seriam exemplos de crimes mais graves que afastam, agora por subsidiariedade tácita, o tipo penal qualificado em estudo, a violação de sigilo bancário ou de instituição financeira nos termos do artigo 18 da Lei 7.492/86, bem como determinadas condutas previstas na Lei de Segurança Nacional (v.g. artigos 13 e 21 da Lei 7.170/83), dentre outros casos.
Observe-se que a pena disposta pela Lei 14.155/21 não pode retroagir a casos ocorridos antes da sua vigência, pois que se trata de “novatio legis in pejus”.
2.10 - OUTROS AUMENTOS DE PENA (ARTIGO 154 – A, §§ 4º. E 5º., I A IV, CP)
A partir do § 4º., por disposição expressa ali contida, passam a ser previstas causas de aumento de pena aplicáveis estritamente aos casos do § 3º., ou seja, somente para os crimes qualificados, não alcançando as figuras simples ou equiparada. Efetivamente o § 4º. diz expressamente: “na hipótese do § 3º.”. Nada impede, porém, que ocorrendo a concomitância das causas de aumentos dos §§ 4º. e 5º., estes sejam cumulados, incidindo sobre a pena prevista no § 3º., muito embora o mais natural seja a aplicação da exasperação maior tão somente, nos termos do artigo 68, Parágrafo Único, CP.
O primeiro aumento, previsto no § 4º., é da ordem de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. Novamente o desvalor do resultado indica a exacerbação punitiva. Ora, diferente é o invasor obter os dados ou informações e guarda-los para si. Quando ele transmite esses dados a terceiros amplia o dano à privacidade ou ao sigilo, o que justifica a reprimenda mais gravosa. É por esse desvalor do resultado ampliado que o legislador erige em causa especial de aumento o que normalmente seria um “post factum” não punível ou mero exaurimento delitivo.
Já o § 5º., prevê um aumento que varia de um terço até a metade quando o crime qualificado tiver por sujeitos passivos as pessoas elencadas nos incisos I a IV do dispositivo. São elas: Presidente da República, Governadores, Prefeitos, Presidente do Supremo Tribunal Federal, Presidente da Câmara dos Deputados, Presidente do Senado Federal, Presidente de Assembleia Legislativa de Estado, Presidente da Câmara Legislativa do Distrito Federal, Presidente de Câmara Municipal ou dirigente máximo da administração direta ou indireta federal, estadual, municipal ou do Distrito Federal. Essas pessoas gozam de especial proteção legal não devido a um injustificado privilégio pessoal, mas sim por causa do cargo ocupado e da relevância de suas atribuições e importância diferenciada dos informes sigilosos que detém e podem envolver, como envolvem frequentemente, interesses que suplantam em muito a seara pessoal para atingir o interesse público e o bem comum.
2.11 - CLASSIFICAÇÃO DOUTRINÁRIA
O crime é comum, já que não exige especial qualidade do sujeito ativo. É também formal porque não exige no tipo básico (simples) resultado naturalístico para sua consumação, mas a mera invasão ou instalação de vulnerabilidade. Também é formal na figura equiparada porque não exige que o material para a prática delitiva chegue efetivamente às mãos do destinatário, ou seja, realmente utilizado. Já nas figuras qualificadas é material porque exige para consumação a obtenção efetiva de conteúdos ou o controle remoto não autorizado do dispositivo invadido. Em qualquer caso o crime é plurissubsistente, admitindo tentativa. Trata-se ainda de crime instantâneo, comissivo, doloso (não há figuras culposas ou omissivas) e unissubjetivo ou monossubjetivo porque pode ser perpetrado por uma única pessoa, não exigindo concurso. Também pode ser comissivo por omissão quando um garante deixar de cumprir com seu dever de agir nos termos do artigo 13, § 2º., CP. Finalmente trata-se de crime simples por tutelar apenas um bem jurídico, qual seja a privacidade e o sigilo de dados e informações contidos em dispositivos informáticos de qualquer natureza.
2.12 - ALGUMAS DISTINÇÕES
É preciso estar atento para o fato de que o crime previsto no artigo 154 – A, CP pode ser meio para a prática de infrações mais graves, tais como estelionatos, furtos mediante fraude, dentre outros. Nesses casos, seja pela subsidiariedade, no caso do artigo 154 – A, § 3º., CP, seja pela consunção nos demais casos, deverá haver prevalência do crime – fim e afastamento do concurso formal ou material com o crime de “Invasão de Dispositivo Informático”.
A Lei 9.296/96 trata das interceptações telefônicas e também das interceptações de comunicações em sistemas informáticos e telemáticos (artigo 1º., Parágrafo Único), prevendo em seu artigo 10 crime para a realização dessas diligências fora dos casos legalmente previstos e sem ordem judicial. Como já dito, no confronto com o artigo 154 – A, § 3º., CP, a subsidiariedade ali expressa apontará para a prevalência do artigo 10 da Lei de Interceptação telefônica. Além disso, há que distinguir a interceptação da invasão de dispositivo informático ou de instalação de vulnerabilidades para obtenção, adulteração ou destruição de dados ou informações. Na interceptação telemática ou informática a comunicação é captada no exato momento em que ocorre e no crime previsto no artigo 154 – A, CP a obtenção das informações ou dados ocorre posteriormente, mediante invasão de dispositivo informático que as armazena ou guarda. Uma coisa é instalar um dispositivo que permita ao infrator, sem ordem judicial, captar imediatamente no mesmo momento em que a mensagem SMS é digitada, o seu conteúdo (interceptação ilegal – artigo 10 da Lei 9.296/96), outra muito diversa é instalar um vírus espião para obter o teor dessas mensagens SMS armazenado num computador ou mesmo num celular ou smartphone (artigo 154 – A, CP). Ademais, a Lei de Interceptação Telefônica não prevê as condutas de adulteração, destruição de dados ou informações e nem mesmo de instalação de vulnerabilidades para obter vantagem ilícita. Finalmente não se deve confundir o crime do artigo 154 – A, CP com os crimes de “Inserção de dados falsos em sistemas de informação” (artigo 313 – A, CP) e de “Modificação ou alteração não autorizada de sistema de informações” (artigo 313 – B, CP). Ambos são crimes próprios de funcionário público contra a Administração em geral que prevalecem por especialidade em relação ao crime do artigo 154 – A, CP.
2.13 - PENA E AÇÃO PENAL
A pena prevista para o crime simples (artigo 154 – A, “caput”, CP) e para a figura equiparada (artigo 154 – A, § 1º., CP) era originalmente de detenção de 3 meses a 1 ano e multa. Dessa forma tratava-se de infração de menor potencial ofensivo, afeta ao procedimento da Lei 9.099/95. Mesmo na forma majorada do § 2º., a pena máxima não ultrapassaria 1 ano e 4 messes (aumento máximo de um terço), de modo que seguiria como infração de menor potencial. No entanto, com a Lei 14.155/21 a pena passa a ser para as formas simples e equiparada, de “reclusão de 1 a 4 anos e multa”. Não se trata mais de infração de menor potencial, sendo possível apenas a aplicação da Suspensão Condicional do Processo, prevista no artigo 89 da Lei 9.099/95, já que a pena mínima não supera um ano. Com o aumento do § 2º., obviamente não se trata de infração de menor potencial e ainda acaba vedada também a Suspensão Condicional do Processo, já que a pena mínima será maior que um ano com o acréscimo previsto.
Também a forma qualificada do artigo 154 – A, § 3º., CP era abrangida pela Lei 9.099/95, eis que a pena máxima não ultrapassava dois anos (reclusão de 6 meses a dois anos e multa). Apenas nas hipóteses de aplicação dos aumentos de pena previstos nos §§ 4º. ou 5º., é que a pena máxima iria ultrapassar o patamar de dois anos, de modo que não seria mais abrangida pela Lei 9.099/95. O único instituto dessa lei então aplicável seria a suspensão condicional do processo nos termos do artigo 89 daquele diploma, já que a pena mínima não ultrapassa um ano, nem mesmo com os acréscimos máximos. Somente cogitando da concomitância dos aumentos dos §§ 4º. e 5º., é que o patamar, considerando os acréscimos máximos, suplantaria um ano na pena mínima de modo que nem mesmo a suspensão condicional do processo seria admissível. Mas, tudo isso mudou com a Lei 14.155/21. Agora a pena do § 3º. é de “reclusão, de 2 a 5 anos, e multa”, não se tratando mais de infração de menor potencial e não sendo aplicável jamais a suspensão condicional do processo, ainda que não haja incidência de aumentos de pena previstos nos §§ 4º. e 5º.
Por obviedade, esses afastamentos dos institutos da Lei 9.099/95 e penas maiores somente podem ser aplicados a partir da vigência da Lei 14.155/21, não tendo força retroativa, eis que são “novatio legis in pejus”.
O artigo 154 – B, CP regula a ação penal. A regra ali estabelecida é a da ação penal pública condicionada. Excepcionalmente a ação será pública incondicionada quando o delito for praticado contra a administração pública direta ou indireta de qualquer dos poderes da União, Estados, Distrito Federal ou Municípios e empresas concessionárias de serviços públicos. Esse dispositivo confirma a possibilidade da pessoa jurídica como sujeito passivo do ilícito. Entende-se ainda que quando as pessoas físicas elencadas no § 5º., do artigo 154 – A, CP forem vítimas o crime também será de ação penal pública incondicionada, tendo em vista que direta ou indiretamente a administração pública será atingida pela conduta do agente.
A Lei 14.155/21 não alterou as regras de ação penal para o crime de “Invasão de Dispositivo Informático”.