DIREITO PENAL INFORMÁTICO
Incialmente, há que se dizer sobre o Direito Penal Informático e a possibilidade da criação de mais uma onda de Direitos Humanos, sendo a 5º geração. A primeria geração de Direitos Humanos, tratou dos direitos individuais a serem garantidos por uma não intervenção do Estado, exemplo, direito a vida, direito a liberdade, dentre outros. A segunda geração de Direitos Humanos, trouxe uma internvenção ativa do Estado, trazendo os direitos sociais, exemplo, dirteito a saúde, direito a educação, dentre outros. A terceira geração de Direitos Humanos, criou uma cultura de direitos fraternais, originando os direitos ao meio ambiente, a paz, auto determinação dos povos, dentre outros. A quarta geração de Direitos Humanos, decorrente do desenvolvimento da sociedade, originando os direitos da manipulação genética, morrer com dignidade, direito de mudança de sexo, dentre outros.
Então, dando continuidade a quarta geração, vem a quinta geração dos direitos humas, válido destacar que a aceitação da quinta geração não é unânime, porém, vem criando direitos humanos informáticos, visando proteger a existência virtual, exemplo, direito de se comunicar virtualmente sem sofrer controle por parte do Estado, direito de respeito a honra e imagem virtuais, direito a acessar a internet, direito de navegação virtual livre, dentre outros. Como contribuição para tal geração, tem-se além de leis específicas como o Marco Civil da Internet e a Lei Geral de Proteção de Dados, há como uma das novidades legislativas a Emenda Constitucional 115/2022, que traz como incremento aos direitos fundamentais da Constituição Federal, a proteção dos dados pessoais, inclusive nos meios digitais (art. 5, LXXIX).
O Direito Penal Informático além de respeitar os princípios penais e constitucionais, carece de de princípios próprios, desta forma, Sydow desenvolveu alguns (SYDOW, 2022, p. 110), sendo os princípios: da dupla presunção de inocência, do mosaico, da relativização dos elementos informáticos, sigilosidade reflexa, dignidade do usuário.
Dentre os princípios citados a cima, os que mais merecem destaque são os pricípios da dupla presunção de inocência, da sigilosidade reflexa e da dignidade do usuário. Princípio da dupla presunção de inocência foi desenvolvido devido a imaterialidade dos meios cibernéticos serem utilizados como circunstância padrão, exemplo, criptografia. A presunção de inocência deixa de ser válida quando a condenação for justificada pela superação de qualquer dúvida razoável, ou seja, caso haja dúvida, o acusado deverá ser absolvido. Essa primeira presunção de inocência vem por força constitucional, artigo 5º, LVII. Mas a uma segunda presunção de inocência que seria a presunção tecnológica, tendo fundamento na dificuldada na identificação da interatividade (ato informático tem comando humano). Exemplificando para melhor esclarecimento do princípio, determinado crime cibernético, exemplo, um disparo de mensagem através de um celular visando ofender a honra da vítima, neste caso, quando ocorrer a identificação, será a do número do aparelho/chip, ou seja, o que pode identificar o celular, mas não o autor em si. Em síntese, tentar indetificar a autoria, apenas a partir de um dado, monstra-se uma decisão frágil.
O princípio da sigilosidade reflexa pode ser comparado com o direito de não autoincriminação, em síntese, o usuário não perderia a proteção do direito a privacidade em relação as suas informações compartilhadas diretamente com um provedor. Sydow explica que:
Por esse princípio, dados coletados que ultrapassem a expectativa contratada pelo usuário não podem ser compartilhados com nenhum dos Poderes da Federação sob pena de implicar em uma autoincriminação indireta.
Dados obtidos indiretamente por serviços informáticos prestados gozam de sigilosidade presumida e reflexa e não podem ser cedidos pelas empresas, visto que não possuem consentimento adequado dos titulares em relação à sua obtenção e seu destino. Uma vez cedidos, devem ser considerados como provas ilícitas e desconsiderados. Nesse sentido a própria Lei Geral de Proteção de Dados. (SYDOW, 2022, p. 144)
O princípio da dignidade do usuário seria uma derivação do princípio da dignidade humana sob a perspectiva da virtualidade. Spencer Sydow (SYDOW, 2022, p. 153) leciona que tal princípio seria aquele que concede ao usuário o direito de ter todos seus direitos informáticos respeitados, exercendo-os de maneira pacífica, devendo o Estado garantir o respeito a esses direitos.
Passado pelos princípios, nota-se que atualmente o Direito Penal Informático se encontra dentro do Direito Penal, mais precisamente na parte especial, isto é, a parte em que trata dos crimes em espécies. Entretanto é válido pensar que o Direito Penal Informático não pode ser limitado apenas aos crimes cibernéticos, mas deve ser repensado de uma maneira geral, devendo possuir uma maneira de interpretação própria. Para Spencer Sydow, não deve ser criado uma cadeirda de “Direito Penal Informático” nas universidades mas um ramo especial que deve ser estudado após as premissas gerais do Direito Penal:
Defendemos que o profissional do Direito Penal deve encarar essa delituosidade como um segmento que deve ser estudado APÓS o estudo das premissas penais gerais e de modo especializado. Assim, nossa concepção é a de que o Direito Penal Informático é um ramo especial do Direito Penal que exige compreensões diversas com características próprias e princípios que devem ser adicionados à dogmática geral. (SYDOW, 2022, p. 264)
O tempo do crime pode ser entendido como marco para a fixação do momento em que o crime foi praticado para a identificação da legislação que será aplicada. O Código Penal atual, dispõe no seu artigo 4º, “Considera-se praticado o crime no momento da ação ou omissão, ainda que outro seja o momento do resultado”, doutrinariamente chamado de teoria da atividade.
Em uma primeira análise não há o que se reparar, podendo-se entender o crime cibernético como “outro crime qualquer”, todavia, ao reparar nas suas peculiaridades, nota-se que a relevância quanto a teoria atividade, uma vez que, para a definição do tempo, leva-se em consideração apenas a ação ou omissão, não levando em conta o resultado. Porém, o crimes cibernético pode reunir todos os elementos da sua definição legal, ou seja, consumação do crime, mas demorar a ter percepção de seus efeitos, em outras palavras, pode passar muito tempo entre a consumação, percepção da lesão e providência criminal, dando margem a prescrição (a perda do direito de punir do Estado).
Como citado, mostra-se importante saber o momento do crime, tanto para identificação da aplicação da devida lei quanto para o inicio do prazo da prescrição penal. A prescrição poderá iniciar antes de transitar em julgado a sentença final. Neste caso, o momento em que prazo começará a contar dependendo da classificação do crime, conforme o art. 111 CP. No caso de crime consumado, inciso I, começara a correr o prazo prescricional no dia da consumação do crime, já no crime tentado, inciso II, no dia que tiver cessada a atividade criminosa. Há ainda o inicio quanto ao crime permanente, inciso III, que inciara quando cessar a permanência do crime, e nos casos de bigamia e falsificação/alteração de assentamento do registro civil, inciso IV, que o prazo iniciara na data em que o fato torna-se conhecido.
O entendimento do inciso IV do art. 111 CP, parece ser adequado para os casos dos crimes cibernéticos, uma vez que, estes contam com uma prática clandestina e podem ficar ocultos por longos períodos. Spencer Toth Sydow (SYDOW, 2022, p. 319) entende que o inciso IV do art. 111 CP, traria uma melhor resposta legal “[...] seria uma modificação em tal inciso do artigo 111 Código Penal de modo a incluir ali regra especial de contragem de prazo prescricional para os delitos informáticos [...]”. Mas, Sydow (Sydow, 2022, p.318) também entende que haveria um “fôlego” caso o julgadores, caso reconhecessem para alguns crimes cibernéticos, a classificação como crime permanente, exemplo, invasão de dispositivo eletrônico.
O lugar do crime é definido pelo artigo 6 CP, “Considera-se praticado o crime no lugar em que ocorreu a ação ou omissão, no todo ou em parte, bem como onde se produziu ou deveria produzir-se o resultado.”, doutrinariamente chamado de teoria da ubiquidade. Caso o crime tenha ocorrido no Brasil, em regra, deverá ser julgado com lei brasileiras, vide art. 5 CP. Novamente, em uma primeira análise não há o que se reparar, podendo-se entender o crime cibernético como “outro crime qualquer”, todavia, ao reparar nas suas peculiaridades, nota-se que alguns dos crimes cibernéticos transitam por outros países, como bem exemplifica Sydow:
Uma parte relevante dos delitos informáticos ocorre com transição entre países. Seja pela arquitetura da rede que faz com que os dados percorram dispositivos (nodes) de diversas nacionalidades diferentes, seja pelo fato de a maiorria das redes dosciais estar hospedada em países diversos do Brasil, a realidade é que na informática maior parte das condutas penalmente relevantes transborda fronteiras geográficas. (SYDOW, 2022, p. 319)
Ainda, a teoria da ubiquidade pode ser utilizada, pois, caso o crime tenha sua conduta ou resultado no Brasil, poderá ser considerado práticado em território nacional. Entretanto, há que se pensar nas possibilidades atuais decorrentes dos crimes cibernéticos, pois, como o Direito Penal Informático não é tratado da maneira devida ou ao menos tem uma importância notável, o debate é pouco difundido. Por isso, questões como: a diferença geográfica dos países entre autor e vítima, comandos informáticos dados a distância, execução do crime por programas informáticos (Bot’s) e ainda mais recente o mundo de realidade virtual (meta verso) e a propriedade virtual não fungível (NFT).
Spencer Sydow traz como solução para os casos dos crimes cibernéticos uma teoria a respeito do local do crime:
Portanto, a conduta informática é toda ação ou omissão, direta ou indiretamente executada por um usuário, praticada por um ou mais usuários ou programada para ser automaticamente executada por um programa ou inteligência artificial, dirigida a um fim específico e demonstrável, e que faz com que um evento normativo seja atingido, seja ele um resultado ou uma tentativa.
Já o local informático deve ser considerado não geograficamente mas a partir da ideia de ferramenta para obtenção de resultado: não se poderá, para o Direito Penal Informático, considerar o local da hospedagem do sítio , do programa ou da nuvem, mas o território principal em que a conduta surte ou deveria surtir os efeitos intentados. (SYDOW, 2022, p. 322)
Seguindo o entendimento da doutrina majoritária nacional e internacional, o Direito Penal Informático adota a teoria tripartite para o conceito analítico de crime, isto é, divide em três partes, sendo, fato típico, antijuridico e culpável. Sydow (SYDOW, 2022, p. 323) entende que a teoria tripartite seria mais lógica, uma vez que, haveria uma progressividade nos quesitos, sendo o fato típico um conceito positivo e os demais negativo. Há doutrinadores que defendem o entedimento da teoria bipartite, desta forma, seria apenas fato típico e antijuridico.
Citado os três substratos do crime é relevante comentar sobre o erro do tipo informático, a legítima defesa e a inimputabilidade. O erro de tipo, doutrinariamente colocado dentro do substrato do fato típico, é o erro sobre elemento constitutivo do tipo legal, isto é, pode ser entedido como uma falsa percepção da realidade ou desconhecimento daquele elemento. Tem-se como efeito do erro do tipo a desclassificação do crime doloso, mas permitindo a punição como crime culposo. Há erro evitáveis (exclui totalmente a culpa) e inevitáveis (desclassifica o crime doloso para culposo). Nos casos dos crimes cibernéticos, onde alguns elementos do tipo são defeituosos, cria-se uma margem para que o criminoso mesmo tendo cometido crime com o conhecimento do elementos, alegue erro. Spencer Sydow exemplifica:
[...] a principal característica do tipo do artigo 154-A é a sua redação confusa. Os elementos objetivos do tipo são lacunosos, em branco e precisam de interpretação do agente e, em seguida, dos operadores do Direito para serem compreendidos.
[...]
Isso faz com que o agente deliquente informático possa alegar erro sobre o tipo em praticamente toda a conduta baseada, pro exemplo, nesse dispositivo, sendo verossímil a priori sua dúvida de interpretação pela desídia do legislativo e executivo
[...]
Dessarte, entendemos que a solução para tais lacunas deixadas reside novamente na busca pelo tipo culposo que, não existindo, torna a conduta impune até suprimida a falha. (SYDOW, 2022, p. 345)
Dentro do substrato da antijuridicidade do conceito de crime, encontram-se as excludentes, podendo ser, a legitima defesa, o estado de necessidade, o exercicio regular de direito, cumprimento do dever legal, estrito cumprimento do dever legal e o consentimento do ofendido. A excludente pode ser entendida como situações típicas que não merecem uma punição, pois são “permitidas” pelo ordenamento jurídico. A legitima defesa, tem como requisito necessário, dentre outros, a agressão, todavia, o termo agressão remete a um ato violento físico, o que pode gerar um fragilidade, caso os tribunais entendam que a legitima defesa só pode ser aplicada em situações onde ocorre uma agressão física (ou verbal). Sendo assim, Spencer Sydow pontua:
Entendemos que o instituto merece um alargamento de acordo com a realidade, com posterior e urgente atualização da legislação brasileira para evitação de resultados jurídicos injustos conglobantemente.
Dado o fato que bens jurídicos de toda a natureza podem ser protegidos, tanto bens jurídicos informáticos como bens jurídicos comuns que possam ser atacados pelo meio infomático devem ser relembrados. (SYDOW, 2022, p. 355)
No substrato da culpabilidade trata-se da reprovabilidade individual, tendo como elementos a imputabilidade, a potencial consciência de ilicitude e a exigibilidade de conduta diversa. A imputabilidade no Direito Penal brasileiro, é segundo Rogério Sanches (CUNHA, 2021, p. 385) a “[...] possibilidade de atribuir a alguém a responsabilidade pela prática de uma infração penal. Segundo o artigo 27 Código Penal e 228 da Constituição, os menores de dezoito anos serão inimputáveis, porém, podem sofrer medidas socioeducativas decorrentes dos seus atos infracionais. Mas se tratando dos crimes cibernéticos é válido um debate sobre a criação de dever de cuidado dos pais ou até mesmo uma redução da maioridade penal, visto que, as novas gerações possuem maior aptidão com os dispositvos informáticos e o resultados dos crimes cibernéticos são menos ligados a violência física e/ou morte. Spencer Sydow se posiciona de forma muito interessante a cerca deste tema:
O que nos cabe apontar é que a delinquência informática possui uma enorme parcela de condutas praticadas por menos de idade, subnotificadas e em cifra negra. Não há estatísticas que apontem qual percentual dos delitos praticados na rede o são por menores de idade, mas existem razões suficientes para acreditarmos que quando mais um usuário é afim de uma tecnologia, mas facilidade este tem para utilizá-la habilidosamente, inclusive para o mal [...]
Não há dúvidas de que a juventude conhece e domina a informática muito melhor do que idades mais avançadas, via de regra. Sendo assim, há motivos para acreditarmos que delitos como os de violação a direitos imateriais autorais, gravações de intimidade não autorizadas, acesso à sigilosidade de dados, exposição pornográfica não consentida1, cyberbullying, cybestalking e estelionatos são praticados em boa parcela por uma faixa etária não culpável.
O problema da limitação da responsabilização penal nos delitos comuns é menos notório do que nos delitos informáticos. Isso porque é mais incomum ver-se um adolescente envolvendo-se com delitos de morte ou roubos, enquanto que na virtualidade a situação se inverte. Possivelmente uma grande parte dos autores de delitos informáticos de todas as naturezas seja menor de 18 (dezoito) anos.
Possivelmente, uma situação comum de delinquência infanto-juvenil, seja importante refletirmos acerca da resposta penal e da adequação da excludente de culpabilidade em um segmento social em que boa parte das violações a bens juridicos se dão exatamente por usuários de idade reduzidas.
Eventualmente, poder-se-ia pensar em criações de deveres de cuidado para pais de ciberdelinquentes jovens. (SYDOW, 2022, p. 382-383)
Ao analisar o concurso de pessoas no Direito Penal Informático, há que se ter atenção, uma vez que, existem crimes de ataques múltiplos e crimes plurissubjetivos, isto é, crimes que exige mais de uma pessoa. Exemplo de crime plurissubjetivo, é a associação criminosa, nota-se neste caso a necessidade da reunião de três ou mais pessoas, além dos outros requisitos especificos do delito. Entretanto, nos crimes de ataques múltiplos, exemplo, o ataque DDoS.
Um ataque do tipo DDoS é um ataque malicioso que tem como objetivo sobrecarregar um servidor ou um computador, esgotar seus recursos como memória e processamento e fazê-lo ficar indisponível para acesso de qualquer usuário a internet. (HOSTINGER)
No exemplo citado, o DDos, pode ser feito por um agente ou mais, entretanto, geralmente, utiliza-se de vários dispositivos informáticos, como os computadores infectado, para a realização do ataque, visando a sobrecarga e e posteriormente a queda do serviço alvo. Desta forma, assevera Spencer Sydow:
Assim, é precisso muita cautela para afirmar que delitos informáticos de ação múltipla necessariamente exigem mais de um agente, posto que condutas informáticas (comandos) podem ser divisados estratégica e ferramentalmente em muitos dispositivos sob controle de um mesmo usuário mal intencionado. (SYDOW, 2022. P. 396)
Sobre o agravamento da pena, artigo 61 do CP, há doutrina que sustente uma nova hipótese, sendo a agravante genérica para os crimes cibernéticos. Essa é a proposta do Deputado José Nelto, PL 154/19, a proposta já teve a constitucionaldiade apreciada pela CCJ e atualmente, encontra-se para o plenário virtual. O Deputado entende que tal agravante é oportuna, visto a reprovabilidade e o alcance dos crimes cibernéticos. Há dados de pesquisa de empresa especializada, que constatam a lesividade dos crimes cibernéticos:
Um estudo revelado pela Norton voltou a colocar o Brasil como um dos líderes mundiais em fraudes de cartão de crédito e crimes on-line.
[...]
Levando em consideração os R$ 545 bilhões de prejuízos causados pelos crimes cibernéticos em 2017, o Brasil foi responsável por uma amarga fatia de 12% deste total, com os R$ 70 bilhões em perdas. O ranking foi liderado pela China, com R$ 210 bilhões. O terceiro lugar da lista teve os Estados Unidos, com R$ 61,5 bi.
Quantitativamente falando, foram mais de 62 milhões de brasileiros vítimas de golpes cibernéticos durante 2017, segundo o levantamento da Norton. Isso corresponde a 30% dos 207,7 milhões de brasileiros – sem levar em consideração pessoas digitalmente excluídas. A China teve 302 milhões de cidadãos sofrendo golpes on-line – ou 29% de seus 1,37 bilhão de habitantes.
Segundo o 2017 Norton Cyber Security Insights Report, fomos o segundo país com o maior prejuízo financeiro em decorrência de crimes cibernéticos: US$ 22 bilhões, com golpes não só relacionados aos cartões clonados, mas que incluem também invasão de contas, compras em sites falsos e até vírus. Ficamos atrás apenas da China! (KONDUTO)
A agravante é ligada a pena e está deve ter sua finalidade.O Direito Penal e a pena em si, em síntese, possuem um objetivos de prevenção, retribuição, reparação e ressocialização. O objetivo de prevenção, pode ser entedido como uma busca “intimidar” para “impedir” a prática de um crime.
O objetivo é intimidar para prevenir que haja repetição da postura ofensiva.
Tal intimidação pode se dar no sentido de mostrar para toda a população as consequências – acerca da liberdade, do patrimônio etc, - à desobediência das normas de convívio social para que nenhum outro indivíduo se encoraje de repetir aquela conduta (prevenção geral) e no sentido de mostrar para aquela pessoa que cometeu a atitude juridicamente reprovável as consequências que enfrentará caso repita aquele comportamento, assim desestimulando a repetição e a reincidência (prevenção especial). (SYDOW, 2022. p. 412)
As penas permitidas atualmente, artigo 5º, XLVI, CF, são: privação ou restrição da liberdade, perda de bens, multa, prestação social alternativa e suspensão ou interdição de direitos. Porém, entendendo a capacidade de acesso a internet, uma “sociedade virtualizada”, o valor e o desejo de se estar conectado, há um questionamento, a criação de uma pena que restringi-se o acesso a virtualidade, seria eficaz ao combate dos crimes cibernéticos, como analogia, pode-se utilziar a proibição de comparecimento do torcedor deliguente ao estádio, penalidade prevista no Estatuto do Torcedor (lei 10.671/03). Sobre tal possibilidade, Spencer Sydow comenta:
Aos olhos de alguém condenado por delitos dessa natureza, a força do Estado na punição penal é pífia. Em verdade, há até um estímulo indireto para a prática pela enorme quantidade de garantias dadas ao agente, numa negação da prevenção especial.
Provavelmente, punir um usuário que pratica delito informático com uma pena de prestação pecuniária, restituição do prejuízo gerado e também um cerceamento de acesso à virtualidade por um período longo colocaria o agente em uma situação de dificuldades para desestimular uma repetição.
Sabemosque a retirada do acesso de alguém à virtualidade obrigaria essa pessoa a deslocar-se a bancos para pagamento de contas, retiraria o entretenimento streaming, limitaria a comunicação por aplicativos, pedido de comida por aplicativos, uso de e-mails e assim por diante. Quem hoje estaria disposta a ter tais facilidades revogadas?
Para isso a busca pela punição via restrição de direitos parece mais eficiente. (SYDOW, 2022, p. 414)
Obviamente, a prática e a teoria, não ocorrem de formas iguais. Apesar de tal restrição de direitos aparentar ter um eficiência na “repressão”, há que se levar em conta, dois pontos ou dois problemas neste tipo de restrição. A primeira seria a própria aplicação de tal medida devido a sua natureza, e a segunda, seria a fiscalização do Estado para evidar a fraude na restrição.
