6. O problema da autoria
Já assinalada a importância da legalidade também no Direito Penal da Informática, é preciso ver que na sua operacionalização quase sempre haverá uma grande dificuldade de determinar, nos delitos informáticos, a autoria da conduta ilícita.
Diferentemente do mundo "real", no ciberespaço o exame da identidade e a autenticação dessa identidade não podem ser feitos visualmente, ou pela verificação de documentos ou de elementos identificadores já em si evidentes, como placas de veículos ou a aparência física, por exemplo.
Quando um indivíduo está plugado na rede, são-lhe necessários apenas dois elementos identificadores: o endereço da máquina que envia as informações à Internet e o endereço da máquina que recebe tais dados. Esses endereços são chamados de IP — Internet Protocol, sendo representados por números, que, segundo LESSIG, não revelam nada sobre o usuário da Internet e muito pouco sobre os dados que estão sendo transmitidos. "Nor do the IP protocols tell us much about the data being sent. In particular, they do not tell us who sent the data, from where the data were sent, to where (geographically) the data are going, for what purpose the data are going there, or what kind of data they are. None of this is known by the system, or knowable by us simply by looking at the data. (...) Whereas in real space — and here is the important point — anonymity has to be created, in cyberspace anonymity is the given"(66).
No ciberespaço, há razoáveis e fundadas preocupações quanto à autenticidade dos documentos telemáticos e quanto à sua integridade. O incômodo de ter de conviver com tal cenário pode ser afastado mediante a aplicação de técnicas de criptografia na modalidade assimétrica, em que se utiliza um sistema de chaves públicas e chaves privadas, diferentes entre si, que possibilitam um elevado grau de segurança.
Contudo, no que pertine à atribuição da autoria do documento, mensagem ou da conduta ilícita, os problemas processuais persistem, porque, salvo quando o usuário do computador faça uso de uma assinatura digital, dificilmente se poderá determinar quem praticou determinada conduta.
A assinatura digital confere credendidade ao documento ou mensagem, permitindo que se presuma que o indivíduo "A" foi o autor da conduta investigada. Mas o problema reside exatamente aí. Como a Internet não é self-authenticating a definição de autoria fica no campo da presunção. E, para o Direito Penal, não servem presunções, ainda mais quando se admite a possibilidade de condenação.
O único método realmente seguro de atribuição de autoria em crimes informáticos é o que se funda no exame da atuação do responsável penal, quando este se tenha valido de elementos corporais para obter acesso a redes ou computadores. Há mecanismos que somente validam acesso mediante a verificação de dados biométricos do indivíduo. Sem isso a entrada no sistema é vedada. As formas mais comuns são a análise do fundo do olho do usuário ou a leitura eletrônica de impressão digital, ou, ainda, a análise da voz do usuário.
Tais questões se inserem no âmbito da segurança digital, preocupação constante dos analistas de sistemas e cientistas da computação, que têm a missão de desenvolver rotinas que permitam conferir autenticidade, integridade, confidencialidade, irretratabilidade e disponibilidade aos dados e informações que transitam em meio telemático. Naturalmente, tais técnicas e preocupações respondem também a necessidades do Direito Penal Informático e do decorrente processo penal.
Como já assinalado, a segurança de um sistema depende do uso de senhas, de assinatura digital ou eletrônica, de certificação digital, da criptografia por chaves assimétricas, da esteganografia(67), além de requerer a cooperação do usuário no sentido de não compartilhar senhas, de visitar apenas sites seguros(68), de instalar programas de proteção, como anti-sniffers, firewalls(69), anti-vírus, o PGP — Pretty Good Privacy, o Cookie Viewer, o NOBO — No Back Oriffice e bloqueadores de conteúdo.
Como dito, somente os mecanismos de assinatura eletrônica e certificação digital e de análise biométrica podem conferir algum grau de certeza quanto à autoria da mensagem, da informação, ou da transmissão, se considerado o problema no prisma penal.
Mas a criptografia avançada assimétrica, tanto quanto a Internet e a informática, em si mesma ambivalente. Se de um lado se presta a proteger a privacidade de cidadãos honestos e os segredos industriais e comerciais de empresas, presta-se também a assegurar tranqüilidade para ciberdelinqüentes, espaço sereno para transações bancárias ilícitas e campo fértil para o terrorismo e outras práticas criminosas, colocando os órgãos investigativos do Estado em difícil posição e, conseqüentemente, minando a defesa social.
Segundo ANDREW SHAPIRO, "Before the widespread availbility of strong encryption, there was always the possibility that remote communications would be intercepted and read by the state (or by private snoops). Though government was only supposed to eavesdrop on those who were engaging in illegal conduct, rogue officials could abuse that power, tapping the lines of law-abiding citizens — or, before the advent of the phone, seizing written communications. Strong encryption changes this, because even unauthorized interception of an encrypted message occurs, the message will be incomprehensible. This changes the balance of power between individuals and the state. It allows us to keep secrets from government"(70).
Para LOUIS FREEH, Diretor do FBI(71), "The looming spectre of the widespread use of robust, virtually unbreakable encryption is one of the most difficult problems confronting law enforcement as the next century approaches".
Diz SHAPIRO que "Prior to the availbility of strong encryption, of course, a criminal might have tried to evade the cops. But the state could respond with its privileged investigative tools — most likely, wiretapping. Now these government officials say, the upper hand has been effectively taken from state. Strong encryption means law enforcement can no longer get timely access to the plain text of messages. The only solution, these officials say, is to allow the state to retain its advantage". Isto se daria das seguintes formas:
a) proibição de acesso a ferramentas de codificação poderosas a qualquer cidadão;
b) desenvolvimento de padrão governamental de cifração, The Clipper Chip, para difusão na indústria e entre os usuários;
c) proibição de exportação de programas de codificação, tipificando tal conduta como criminosa;
d) a criação do sistema de molheiro de chaves (key escrow system), pelo qual o usuário de criptografia ficaria obrigado a enviar a um órgão central de controle uma cópia de sua chave privada de cifração. Essa autoridade central, mediante ordem judicial, poderia decodificar a messagem supostamente ilícita e entregá-la aos agentes públicos investigantes.
SHAPIRO critica essas tentativas de controle governamental, asseverando que "(...) the government effort to regulate code could have the opposite of its intented effect, diminishing individual security while hardly affecting criminals at all (...) What´s inportant here is to see the increasingly intricate ways in which the state may, in the course of legitimate pursuits, limit individual control without justification — and without meaning to do so"(72).
Ou seja, estamos diante dos velhos conflitos entre direitos fundamentais e interesse público, entre segurança pública e privacidade, entre ação do Estado e a intimidade do indivíduo, questões que somente se resolvem por critérios de proporcionalidade e mediante a análise do valor dos bens jurídicos postos em confronto.
O certo é que, enquanto o Direito Constitucional e o próprio Direito Penal não alcançam consenso quanto à forma de tratamento de tais conflitos, a criminalidade informática tem ido avante, sempre com horizontes mais largos e maior destreza do que o Estado, principalmente no tocante à ocultação de condutas eletrônicas ilícitas e ao encobrimento de suas autorias. DENNING & BAUGH JR(73) informam que os hackers dominam várias técnicas para assegurar-lhes o anonimato, a exemplo:
a) do uso de test accounts, que são contas fornecidas gratuita e temporariamente por alguns provedores e "que podem ser obtidas a partir de dados pessoais e informações falsas";
b) da utilização de anonymous remailers, contas que retransmitem emails enviados por meio de provedores de Internet que garantem o anonimato;
c) clonagem de celulares para acesso à Internet, de modo a inviabilizar a identificação do local da chamada e de seu autor, mediante rastreamento do sinal;
d) utilização de celulares pré-pagos, pois tais aparelhos podem ser adquiridos com dados pessoais falsos e são de difícil rastreamento.
Por isso SPINELLO assevera que "eletronic anonymity also frustrates lawmakers´ efforts to hold individuals accountable for they on-line actions"(74). E isto implica impunidade, em se tratando de criminalidade informática.
Essas e outras questões, ainda sem respostas, põem-se diante dos penalistas e dos estudiosos do Direito Penal. Espera-se, apenas, que sejam breves os embates e as polêmicas, pois o crime na era da Internet se consuma na velocidade da luz.
7. O problema da competência
A proposição diz com a questão da aplicação da lei penal no espaço e não é tema de interesse exclusivo do ordenamento brasileiro.
MARCO AURÉLIO GRECCO assinala que "Além das repercussões na idéia de soberania e na eficácia das legislações, não se pode deixar de mencionar os reflexos que serão gerados em relação ao exercício da função jurisdicional"(75).
Problemas de soberania, jurisdição e competência estarão cada dia mais presente no cotidiano dos juristas e dos operadores do Direito que se defrontarem com questões relativas à Internet.
RICHARD SPINELLO(76) indaga se a Internet pode ser realmente controlada e regulada pelo Estado. "Many users boast that Internet by its very nature is virtually untamable and really immune from such centralized controls, especially those that attempt to suppress the flow of information (...) As ve have seen, a fundamental problem with a particular sovereignty imposing its will on the Internet is that law and regulations are based on geography; they have force only within a certain territorial area (for example, a state, a county, or a nation). As once jurist said: ´All law is prima facie territorial".
Esse ponto de vista, se verdadeiro, traduz a idéia de que a Internet se prestará à ruína das idéias de soberania e de território e acabará por conduzir (quem sabe) à remodelagem da noção de Estado-nacional, conduzindo ao chamado neomedievalismo ou novo feudalismo. Em termos, a nova ordem determinada pela globalização econômico-social e pela interconexão dos povos a partir do advento da Internet, levaria à inviabilização do exercício da soberania (e da jurisdição) por Estados-nacionais. O poder estatal nesse mundo decorrente da revolução eletrônica passaria a ser compartilhado pelos indivíduos e perderiam as autoridades centrais a faculdade de exercer o controle social como imaginado durante a fase áurea dos Estados-nacionais.
É certo que o fenômeno globalizante e a tendência de formação de comunidades regionais e o fortalecimento do Direito Comunitário e do Direito Internacional são mostras de que a noção de soberania está mesmo sendo deixada para trás. A Internet tem sido um dos fatores determinantes dessa mudança. Os governos perdem poder, ao passo que surgem novos centros de poder, como se estivéssemos diante de um novo feudalismo, época em que os senhores feudais compartilhavam soberania com suseranos e monarcas não tão fortes quanto os que a eles se seguiram, com o nascimento do Estado-absolutista.
Parece-nos, contudo, que as expressões neomedievalismo ou neofeudalismo carregam em si um sentido extremamente negativo, pois remetem a tempos não muito felizes na história humana. Todavia, servem tais substantivos para apontar um elemento marcante, comum às duas épocas: a divisão do poder entre vários sujeitos sociais e a inexistência de uma verdadeira e absoluta soberania.
SPINELLO explica que a Internet é uma tecnologia global sem fronteiras e sem donos, sendo quase impossível para qualquer nação garantir a execução de leis ou restrições que se busque impor no ciberespaço. Se os Estados Unidos, o México ou o Brasil decidirem proibir a pornografia online, esses países podem fiscalizar o cumprimento de tal proibição apenas entre os provedores e usuários em seus territórios. Infratores localizados na Europa ou na Ásia não estarão proibidos de disponibilizar material pornográfico na rede, acessível a qualquer pessoa, em qualquer parte. "Thus, the ascendancy of this global computer network appears to be undermining the power of local governments to assert control over behavior within their borders. In addition, these futile efforts to regulate the Internet from a specific locality undescore the local sovereign´s incapacity ´to enforce rules applicable to global phenomena´. Perhaps those predictions that the Internet will cause an irreversible decline in national sovereignty are not so far-fetched"(77).
Concordando com esse pensamento, CELSON VALIN(78) diz que "o grande problema ao se trabalhar com o conceito de jurisdição e territorialidade na Internet, reside no caráter internacional da rede. Na Internet não existem fronteiras e, portanto, algo que nela esteja publicado estará em todo o mundo. Como, então, determinar o juízo competente para analisar um caso referente a um crime ocorrido na rede?".
Em tese, conforme VALIN, um crime cometido na Internet ou por meio dela consuma-se em todos os locais onde a rede seja acessível. Ver, por exemplo, o crime de calúnia. Se o agente atribui a outrem um fato tido como criminoso e lança essa declaração na Internet, a ofensa à honra poderá ser lida e conhecida em qualquer parte do mundo. Qual será então o foro da culpa? O local de onde partiu a ofensa? O local onde está o provedor por meio do qual se levou a calúnia à Internet? O local de residência da vítima ou do réu? Ou o local onde a vítima tomar ciência da calúnia?
Por equiparação, poder-se-ia aplicar ao fato a solução dada pela Lei de Imprensa (art. 42 da Lei Federal n. 5.250/67), que considera competente para o processo e julgamento o foro do local onde for impresso o jornal.
"Art. 42. Lugar do delito, para a determinação da competência territorial, será aquele e, que for impresso o jornal ou periódico, e o do local do estúdio do permissionário ou concessionário do serviço de radiodifusão, bem como o da administração principal da agência noticiosa".
Esse dispositivo resolve conflitos de competência entre juízos situados em comarcas diferentes, no mesmo Estado ou em Estados diversos, a partir da consideração do provedor (de acesso ou de conteúdo) como ente equiparado a empresa jornalística. Bem trabalhado, o princípio pode ser adequado aos crimes transnacionais, ainda que cometidos por meio da Internet, bastando que se considere como local do fato aquele onde estiver hospedado o site com conteúdo ofensivo.
IVES GANDRA DA SILVA MARTINS e ROGÉRIO VIDAL GANDRA DA SILVA MARTINS dão espeque a esse entendimento, quando, ao cuidar da indenização por dano à vida privada causado por intermédio da Internet, sugerem que "toda comunicação eletrônica pública deve ter o mesmo tratamento para efeitos ressarcitórios da comunicação clássica pela imprensa"(79) e que "a desfiguração de imagem por informações colocadas fora da soberania das leis do país ensejaria os meios ressarcitórios clássicos, se alavancada no Brasil"(80).
Como alternativa à fórmula da Lei de Imprensa, assinale-se o art. 72 do Código de Processo Penal que estabelece a competência do foro de domicílio do réu, quando não for conhecido o lugar da infração(81).
IVETTE SENISE FERREIRA entende que já se deu a internacionalização da criminalidade informática, devido à mobilidade dos dados nas redes de computadores, facilitando os crimes cometidos à distância. Diante desse quadro, é indispensável que os países do globo harmonizem suas normas penais, para prevenção e repressão eficientes(82).
Pensamos que, no tocante aos crimes à distância(83), deve-se aplicar a teoria da ubiqüidade, que foi acolhida no art. 6º do Código Penal, ao estabelecer:
"Art. 6º. Considera-se praticado o crime no lugar em que ocorreu a ação ou omissão, no todo ou em parte, bem como onde se produziu ou deveria produzir-se o resultado".
Em se tratando, todavia, de crimes plurilocais(84), incide, em nosso regime, a regra do art. 70, caput, do Código de Processo Penal, determinando-se a competência, neste caso, pelo lugar da consumação do crime, conforme a teoria do resultado. Tais diretrizes podem servir como alento, desde que espraiadas para o mundo, mediante a ratificação de tratados internacionais.
Enquanto essa providência não vem, não se olvide a possibilidade de aplicação extraterritorial da lei penal brasileira, na conformidade do art. 7º do Decreto-lei n. 2848/40, que determina que ficam sujeitos à lei brasileira, embora cometidos no estrangeiro alguns ilícitos penais, dentro de critérios de nacionalidade, representação, justiça penal universal, entre outros.
Tais preceitos vinculam-se ao disposto no art. 88 do Código de Processo Penal, que estipula que "No processo por crimes praticados fora do território brasileiro, será competente o juízo da Capital do Estado onde houver por último residido o acusado. Se este nunca tiver residido no Brasil, será competente o juízo da Capital da República".
Vinculam-se também ao art. 109, inciso V, da Constituição Federal, que atribui aos juízes federais a competência para processar e julgar "os crimes previstos em tratado ou convenção internacional, quando, iniciada a execução no País, o resultado tenha ou devesse ter ocorrido no estrangeiro, ou reciprocamente".
Os casos remanescentes, de conflito ou indeterminação de competência, devem ser resolvidos mediante a celebração de tratados internacionais(85), que alcem à condição de crimes internacionais certos delitos informáticos e que estabeleçam formas de cooperação, em matéria penal, para o processo e julgamento de tais ilícitos.
Alguns tratados recentemente firmados no âmbito da ONU, como a Convenção contra a Delinqüência Transnacional — aprovada pela Assembléia Geral por meio da Resolução 55/25, de novembro de 2000, e aberta para adesões, em Palermo, Itália(86) — servem como parâmetro para essas outras tratativas em torno da criminalidade informática.
Nesse mesmo propósito de universalização da justiça penal informática, o Comitê de Ministros do Conselho da União Européia determinou aos Estados-membros, por meio da Recomendação R(89)9, de 13 de março de 1989, que editassem leis para prevenir e reprimir a prática de crimes computacionais(87). Em razão dessa recomendação comunitária, a Grã-Bretanha editou o Computer Misuse Act, em 1990.
Tais considerações são relevantes, porque, afinal, o art. 5º do Código Penal, dispõe que se aplica "a lei brasileira, sem prejuízo de convenções, tratados e regras de direito internacional, ao crime cometido no território nacional". Depreende-se, portanto, que o ordenamento jurídico nacional não exclui a possibilidade de aqui serem punidos crimes cometidos fora do território brasileiro, desde que previstos em convenções internacionais das quais o Brasil seja signatário.
O certo é que, pela sua natureza e pelo seu valor e utilidade intrínsecas para a aproximação dos povos e a harmonização das relações internacionais, bem como para a difusão do conhecimento, da ciência e da educação por todo o globo, a Internet deve ser qualificada como patrimônio da humanidade e, como tal, merecer indistinta proteção em todas as jurisdições penais.
Há a considerar, todavia, a efetividade do processo penal nos casos em que o crime informático, praticado pela Internet, tenha produzido resultado no Brasil. CELSON VALIN indaga se "é realmente interessante que a justiça nacional seja considerada competente, apta a julgar tal delito? Será eficaz um eventual processo no Brasil, se o servidor atacado e o autor do delito não estavam fisicamente em território nacional?"(88)
De qualquer modo, como os crimes cometidos pela Internet podem atingir bens jurídicos valiosos, como a vida humana ou a segurança do sistemas financeiros ou computadores de controle de tráfego aéreo, são necessárias tratativas urgentes para definir, em todo o globo, tais questões competenciais e jurisdicionais, tendo em vista que, pelo menos quanto a um fator, há unanimidade: não pode haver impunidade para autores de crimes que atinjam bens juridicamente protegidos, principalmente quando o resultado decorrente de tais condutas mereça um maior juízo de desvalor, como ocorre com certos tipos de delitos informáticos próprios e impróprios.
Por isso mesmo, ALEXANDRE DAOUN e RENATO OPICE BLUM(89) atestam que "A reprimenda à criminalidade praticada com o emprego de meios eletrônicos, notadamente os que avançam na rede mundial de computadores, terá de ser acionada por todos os povos civilizados e essa perspectiva deriva, com certeza, do próprio fenômeno da globalização". Enquanto isso, persistem as dúvidas quanto à lei a se aplicar em cada caso concreto: se a lex fori ou se a lex loci delicti comissi e, no tocante à competência, qual a jurisdição assumirá o processo e julgamento desses crimes.
Certo é que a lei penal brasileira poderá ser aplicada extraterritorialmente para punir crimes informáticos praticados fora do País ou cujo resultado lá se tenha dado. No entanto, de acordo com o art. 2º do Decreto-lei n. 3.688/41, "a lei brasileira só é aplicável à contravenção praticada em território nacional". Assim, se, eventualmente, o legislador infraconstitucional entender por bem tipificar contravenções penais eletrônicas, será bem mais difícil, em relação a elas, imputar sanção, quando praticadas na forma "à distância".
Em conseqüência, se um internauta argentino, acessando a rede a partir de Buenos Aires, enviar para uma lista de discussão brasileira a notícia de que a usina hidrelétrica de Itaipu está ruindo, provocando, com isso, alarma na população, embora tenha cometido, na prática, a contravenção do art. 41 da LCP (falso alarma), não poderá ser punido conforme a lei brasileira, pois esta, para as contravenções, não é extraterritorial.
Exemplo dessas perplexidades é o que se deu no julgamento do habeas corpus 80.908-1, do Rio Grande do Sul, pelo Supremo Tribunal Federal. Trata-se de remédio impetrado por um apostador em corridas de cavalos realizadas fora do Brasil, na prática chamada simulcasting internacional, em que o jogador aposta online. Discute-se se tal conduta é típica (art. 50, §3º, alínea ´b´, da LCP) ou atípica. O relator do HC, o ministro MARCO AURÉLIO, concedeu liminar ao impetrante, dando aparência de atípica à conduta assinalada, o que mostra que
