2. A TUTELA PENAL E AS DIFICULDADES PARA SUA APLICAÇÃO NOS CYBERCRIMES.
2.1 AS DIFICULDADE TÉCNICAS DO AMBIENTE VIRTUAL
Segundo Valente, World Wide Web é o sistema de hipertexto usado para “navegação” na Internet.[42] Podemos ampliar esse conceito e abarcar também a interligação de documentos em forma de vídeos, sons, hipertextos e figuras que são exibidos na Internet.
Recém-completado 25 anos de existência a World Wide Web criada por Tim Berners-Lee tinha o intuito de promover um acesso simples por meio de plataformas diversas em servidores espalhados pelo mundo.[43] Para atender esse objetivo o conteúdo de hipertexto foi codificado em linguagem Hypertext Markup Language (HTML) de forma a agregar conteúdos de mídia às paginas de dados. A codificação HTML atenuou a imagem "hostil" das páginas da internet tornando-as atrativas para o público leigo e empresas em geral favorecendo o aparecimento de inúmeros sites.
Em razão do dinamismo da internet é difícil estatizar a quantidade de sites existentes atualmente. Dados de uma compilação realizada pelo site royal.pingdom.com no ano de 2012 traziam à baila a existência de 634 milhões de sites na internet.[44] Com o crescimento vertiginoso e desordenado dos sites, muito conteúdo foi produzido aleatoriamente e a informação espalhou-se de forma caótica, para agrupá-la de forma satisfatória foram criadas as ferramentas de pesquisas ou também conhecidas por motores de busca, que são indexadores das paginas da web.
Existem vários motores de busca, contudo, o que obteve maior sucesso foi o Google. O site de busca da Google utiliza ferramentas específicas – rastreadores web - que buscam conteúdos na rede e realizam uma indexação dessas informações. Vejamos o que diz a central de imprensa do Google acerca do funcionamento dessa indexação de dados.
A Web é como uma biblioteca pública em constante expansão, com bilhões de livros e nenhuma administração centralizada. Essencialmente, o Google reúne as páginas durante o processo de rastreamento e cria um índice para que saibamos exatamente como encontrar o que procuramos. De forma muito semelhante ao índice na parte de trás de um livro, o índice do Google inclui informações sobre as palavras e onde podem ser encontradas. Quando você realiza uma pesquisa no nível mais básico, nossos algoritmos procuram os termos de sua pesquisa no índice para localizar as páginas adequadas. Usamos programas conhecidos como "rastreadores da Web" para descobrir páginas disponíveis publicamente. [...] Os rastreadores analisam as páginas da Web e seguem os links contidos nelas[...] Eles avançam de link em link e transmitem aos servidores do Google os dados destas páginas da Web.[45]
Foi o alto grau de eficiência nas respostas que colocou o Google no patamar atual. Dados da Hitwise - ferramenta de inteligência digital da Serasa Experian – informa que no ano de 2012 entre os 10 buscadores mais visitados no Brasil, o Google atingiu 85,55% de participação[46].
Sendo assim, não seria forçoso dizer que muitas pessoas só conhecem da internet aquilo que o Google lhes retorna de suas buscas, qualquer página da web não indexada pelo Google seria totalmente desconhecida. O mais impressionante é que todos os sites de busca só conseguem indexar 0,2% de todo conteúdo da internet[47].
Adicione-se a esse contexto a complexa estrutura da internet, todo computador que está conectado a internet é uma parte da rede, as informações passam por satélites, atravessam os oceanos por meio de cabos transoceânicos, por uma gigantesca rede de backbonessubmarinos.
Em uma apertada contextualização demonstramos: ao enviarmos uma mensagem de e-mail ela sai do computador, passa pelo modem e segue para o provedor de internet. Essa mensagem é enviada para uma grande rede com várias conexões capazes de levar tudo isso até um backbone - uma espécie de espinha dorsal da internet -. Este, por sua vez, funciona como high way, uma grande avenida de fibra óptica, que leva as informações rapidamente até outra rede, que por sua vez, remete a mensagem até o destino final[48].
Ressalte-se que todo esse processo dura poucos segundos. Ainda temos as camadas de softwares, os protocolos, os tipos de rede e forma de acessos, enfim, a internet é complexa por definição.
2.1.2 PESCANDO NA SURFACE WEB
O primeiro artigo a tratar das camadas da internet é Michael Bergman, do ano de 2001. Para Bergman as pesquisas realizadas na internet podem ser comparadas a uma pesca com uma rede de arrasto no oceano, você só consegue apanhar o que está na superfície e alguns metros abaixo dela, mas, o melhor e maior conteúdo estão nas profundezas[49].
Esta camada superficial também é conhecida por Surface Web. Em outras palavras é conteúdo da World Wide Web que está disponível para o público em geral e para a indexação dos motores de busca. Os resultados das pesquisas dos sites de busca nos são mostrados por meio de links.
É na Surface Web que as empresas desenvolvem seus projetos de marketing e realizam suas vendas, as universidades disponibilizam informações acadêmicas, os hospitais divulgam informações médicas, o Governo oferta seus serviços, os jornais noticiam os fatos, em resumo, onde trafegam os dados que conhecemos e temos acesso.
No entanto, são nas camadas mais profundas onde repousa grande parte do conteúdo da internet.
2.1.3 O CONTEÚDO DESCONHECIDO DA GOOGLE: A DEEP WEB
Antes de tudo, necessário de faz desmistificar a Deep Web, uma vez que esse trabalho tem como um dos objetivos tornar o conteúdo técnico mais acessível à comunidade jurídica.
Envolta em tons de mistérios e misticismos as primeiras consultas realizadas na Deep Web afasta qualquer internauta curioso. O resultado de pesquisas sobre Deep Web trazem como resultados imagens horríveis, sangrentas e macabras que desafiam o imaginário dos menos avisados. A nosso ver, uma estratégia para rechaçar curiosos dessa camada da internet.
Porém é verdade que a Deep Web abriga todo esse conteúdo, em contrapartida há um excelente arcabouço de informações de alta relevância nessa camada, nesse sentido Bergman nos afirma que: “a relevância e a quantidade do conteúdo da Deep Web é de 1000 a 2000 vezes maior do que da Surface Web”[50] Dados do Brightplanet estimam que atualmente, o volume de informações dispostas na Deep Web é de 4.000 a 5.000 vezes maior do que o da Surface Web[51].
Além dos navegadores mais conhecidos como o Google Chrome, Internet Explorer ou o Firefox o acesso à Deep Web também é realizado por meio de navegadores específicos, dentre os quais está o TOR, acrônimo de The Onion Router que foi criado pela marinha norte-americana objetivando meios seguros de comunicação via internet. Suas principais características são a segurança conferida pela criptografia e a garantia do anonimato, sendo impossível saber o IP do usuário. Dessa forma as comunicações podem ser realizadas com total segurança e privacidade. Após alguns anos o projeto foi abandonado pelos militares e posteriormente continuado por organizações da internet.
Não pairam dúvidas acerca do potencial e utilidade benéfica do navegador TOR, por meio dele você pode se comunicar com outro usuário de computador sem possibilidades de qualquer tipo de interceptação ou identificação. A criptografia impede que bisbilhoteiros saibam o que você está teclando.[52] A internet profunda rompe com as regras da internet convencional e por meio do TOR a segurança alia-se ao anonimato e dá liberdade aos internautas.
Foi o anonimato propiciado pelo TOR que tornou possível a comunicação entre ativistas e pessoas de vários países no movimento revolucionário ocorrido em 2010, conhecido como Primavera Árabe - insurreições populares no mundo árabe-. Sobre esse momento histórico Manuel Castells relata:
[...] As insurreições populares no mundo árabe são um ponto de inflexão na história social e política da humanidade. E talvez a mais importante das muitas transformações que a internet induziu e facilitou, em todos os âmbitos da vida, sociedade, economia e cultura[...]as novas tecnologias jogam um papel chave primordial — em especial, as redes sociais, que permitem superar a censura.[53]
O TOR ainda é utilizado de forma legitima para comunicação de agências de inteligência com fontes secretas, jornalistas e dissidentes políticos em Estados autoritários, etc.
Toda essa segurança e anonimato propiciados pelo TOR e outros navegadores da Deep Web é realizada em detrimento da velocidade e de vários aplicativos comuns na Surface Web. A navegação na Deep Web lembra as conexões de 1990, onde o acesso era discado e o carregamento de página levava bastante tempo. Dessa forma seria totalmente inviável a utilização desse padrão na internet que usamos hoje em dia.
O problema é que toda essa segurança e anonimato atraiu o cibercriminoso que vislumbra a utilização das camadas mais profundas da internet para prática de cybercrimes de difícil, quiçá impossível, determinação de autoria.
2.1.4 O SUBMUNDO DA INTERNET: A DEEP WEB
A Deep web também conhecida por internet escura, Dark Internet , Dark Net, Mariana’s Web - em alusão à fossa abissal das ilhas Marianas, conhecido como o lugar mais profundo dos oceanos em todo o Planeta Terra -[54] é onde se originam os mais relevantes e sofisticados ataques de cybercrimes. Na Deep Web além das dificuldades técnicas inerentes à camada, que garante segurança e anonimato o poder coercitivo estatal não consegue efetividade. É um ambiente onde o caos tecnológico se opera em virtude da topologia da rede, bem como as leis encontram diversas dificuldades de aplicação, é um ambiente onde se abrigam os mais nocivos grupos de cibercriminosos.
Na Deep web encontra-se de tudo. É possível, por exemplo, contratar assassinos de aluguel, comprar cartões de créditos roubados e/ou furtados, é onde se abrigam os maiores exploradores de pornografia infantil, sites de venda de órgãos humanos, armas químicas e de uso exclusivo das forças armadas, com destaque para o comércio de drogas que é altamente estruturado, difundido e rentável, grupos terroristas articulam-se nos fóruns secretos, grupos que discutem técnicas para matar pessoas por meio de práticas satânicas e dos mais variados tipos de parafilias.
São mínimas as chances de se conseguir determinar a autoria de um cibercriminoso que opere por meio da Deep Web. Como destacamos anteriormente, a navegação anônima é uma das principais características dessa camada sendo assim, as poucas leis que possuímos tornam-se inócuas nesse ambiente. Certos da inalcançabildade da tutela estatal os cibercriminosos encontram na Deep Web um porto seguro para prática reiterada de seus cybercrimes.
Os mais céticos minimizam toda essa situação, pois, acreditam que os cybercrimes impróprios em algum momento necessitam emergir a realidade para serem materializados. Em verdade eles subestimam a capacidade dos cibercriminosos, na Deep Web há fóruns permanentes com discussões acerca das melhores formas de praticar os cybercrimes, vejamos trechos de postagens em fóruns que mostram como funciona essa cooperação logística para o tráfico de drogas pela internet:
[...]os traficantes usam os serviços de correios para enviar a droga. Nessa etapa, não há criptografia que disfarce as substâncias ilegais do olfato de cães farejadores e dos scanners dos postos de inspeção.
Por isso, há um grande esforço desses portais ilegais para desenvolver técnicas de camuflagem para as drogas. No fórum do Silk Road, por exemplo, existe uma área exclusiva para a discussão do tema. Ali, aprende-se que nem a selagem a vácuo consegue evitar o vazamento de vapor das drogas depois de alguns dias. Usuários mais experientes recomendam embalagens de alumínio e filme PET, capazes de isolar gases por um bom tempo. Cartões falsos de Natal e de aniversário que acondicionam a droga completam o disfarce. Outros membros falam em utilizar, como destinatários, o nome de antigos moradores do endereço de entrega, para evitar que o comprador seja associado ao pacote a ser entregue.
Um usuário anônimo, que se diz funcionário do sistema americano de Correios, revela detalhes das inspeções. "Elas não acontecem todos os dias, a menos que haja um grande carregamento a caminho", diz ele. "Já vi cartas oferecidas aos cachorros. Nunca vi cães farejarem a esteira, mas eles são sempre levados a carrinhos de encomendas internacionais."[55]
Não bastasse a vasta rede de cooperação, os cybercriminosos ainda se utilizam de uma moeda digital chamada bitcoin. Trata-se de uma criptomoeda cuja operações são protegidas por criptografia.[56] Diferente de uma moeda comum a bitcoin não é regulada pelo governo ou instituições financeiras, todas as transações são realizadas de uma pessoa para outra sem intermediários.
A plataforma permite o envio de dinheiro sem deixar rastros da qualquer pessoa em qualquer lugar do mundo à margem de qualquer legislação[57], por esse motivo é amplamente utilizada pelos cibercriminosos.
Os cybercrimes próprios, como a exemplo dos ataques de negação de serviço são uma epidemia na Deep Web. Esses ataques são praticados por meio de uma botnet, segundo a central de proteção de segurança da Microsoft botnet são computadores infectados em larga escala para execução de tarefas automatizadas via internet sem que o usuário tenha conhecimento. [58]Os cibercriminosos infectam computadores por meio de malwares e os escravizam, utilizando-os para atacar sites de empresas ou sites governamentais.
Em uma apertada síntese a explanação que desenvolvemos até esse ponto do trabalho denota que é indefectível a existência de dificuldades técnicas para determinação de autoria dos cybercrimes praticados no ciberespaço e tornam-se impossíveis de determinação quando praticados pela Deep Web.
2.2 AS DIFICULDADE JURÍDICAS PARA TUTELAR O CIBERESPAÇO
Cientes da relevância do tema alguns países saíram à frente e promoveram o devido alinhamento das demandas oriundas do ciberespaço. Legisladores de países como Japão, Estados Unidos, Canadá, Suécia, Argentina, bem como vários países da União Europeia não titubearam em face do problema e desde cedo adequaram suas leis internas.
Nesse sentido, Remy Gama Silva nos contempla com excelente compilação sobre o panorama geral das legislações internacionais relacionada aos cybercrimes que remonta ao ano de 2000, o que nos mostra a preocupação pretérita desses países, vejamos:
- ARGENTINA - Projeto de Lei sobre Delitos Informáticos, tratando do acesso ilegítimo a dados, dano informático e fraude informática, entre outros tipos. arts. 183 e 184 do Código Penal. - Decreto 165/94, relacionado ao software. - Lei 11.723, Direito Intelectual;
- ALEMANHA - Código Penal, Seção 202 a, Seção 263 a, Seção 269, Seção 270 a 273, Seção 303 a, Seção 303b; - Lei contra Criminalidade Econômica de 15/05/86;
- AUSTRÁLIA - possui Legislação Federal e os Estados têm independência para legislarem sobre o assunto;
- ÁUSTRIA - Lei de reforma do Código Penal de 22/12/87, que contempla os delitos de destruição de dados (art. 126) e fraude informática (art. 148);
- CANADA - Código Criminal, Seção 183, Seção 242.2, Seção 326, Seção 342, Seção 342.1, Seção 430.(1.1), Seção 487;
- CINGAPURA - Ato de Abuso do Computador, Seção 3;
- CHILE - Lei 19.223 de 07/06/93, sobre Delitos Informáticos.
- CHINA - possui regulamentos para proteção da segurança de informações de computadores. Dec. 147 do Conselho Estatal da República Popular da China;
- CUBA - Regulamento de Segurança da Informática em vigor desde novembro de 1996, emitido pelo Ministério do Interior. - Regulamento sobre a Proteção e Segurança Técnica dos Sistemas Informáticos, de novembro de 1996, emitido pelo Ministério da Indústria Mecânica e Eletrônica. - O vigente Código Penal – Lei nº 62 de 29/12/87, em vigor desde 30/04/88, modificado pelo Decreto Lei 150 de junho de 1994, traz um conjunto de figuras aplicáveis aos delitos cometidos contra sistemas informáticos.
- DINAMARCA - Código Penal, Seção 263;
- EGITO - nenhuma legislação penal específica;
- ESPANHA - Novo Código Penal, aprovado pela Lei Orgânica 10/1995 de 23/11/95, traz vários artigos intimamente relacionados com os crimes da informática. Ex. arts. 197 a 201, arts. 211/ 212, art. 248, arts. 255/256, art. 279, art.278, art. 400, art. 536;
- ESTADOS UNIDOS - Ato Federal de Abuso do Computador (18 USC. Sec. 1030), que modificou o Ato de Fraude e Abuso do Computador de 1986.- Ato de Decência de Comunicações de 1995. - Ato de Espionagem Econômico de 1996. - Seção 502 do Código Penal relativo aos crimes da informática. - Os Estados têm independência para legislar sobre o assunto;
- FINLANDIA - Código Penal, Capítulo III, art. 323.1, art. 323.2, art.323.3, art. 323.4;
- FRANÇA - Novo Código Penal, Seção 202 a, Seção 303 a, Seçã0 303 b; - Projeto de Lei relativo a criminalidade informática. - Lei 88-19 de 05/01/88 sobre Fraude Informática;
- GRÉCIA - Código Criminal, art. 370 c, par. 2;
- HONG KONG - Ordenação de Telecomunicação, Seção 27 a, Seção 161;
- IRLANDA - Ato de Dano Criminal de 1991, Seção 5;
- ISRAEL - possui Lei de 1979 relacionada a crimes informáticos;
- ITÁLIA - Código Penal, art.491 bis, art. 615, art.616, art.617, art. 621, art. 623 bis, art.635 bis. Lei 547 de 23/12/93 - modifica e integra norma ao Código Penal e ao Código de Processo Penal em tema de criminalidade informática.- Lei 675 de 31/12/96, sobre a Tutela da Privacidade;
- JAPÃO - Tem legislação penal relacionada a crime de computadores;
- LUXEMBURGO - Ato de 15/07/93, art. 509.1;
- MALASIA - Ato de Crimes do Computador de 1997. - Ato de Assinatura Digital de 1997;
- NORUEGA - Código Penal, par. 145, par.151 b, par.261, par.291;
- PAÍSES BAIXOS - Código Criminal, art. 138 a;
- PORTUGAL - Lei de Informação Criminal nº 109 de 17/08/91. Lei de Proteção de Dados Pessoais, 67/98 de 26/10/98; - Constituição Portuguesa, art. 35. - Código Penal, arts. 193 e 221;
- REINO UNIDO - Ato de Abuso do Computador de 1990, Cap. 18;
- SUÉCIA - Lei de Dados de 1973, com emendas em 1986 e 1990, par. 21;
- SUIÇA - Código Penal, art. 143 bis.[59]
Nesse espaço temporal os respectivos países, no mesmo compasso evolutivo dos cybercrimes, ampliaram ainda mais suas leis sobre ciberespaço. Como a exemplo de Portugal que em 2009 aprovou a Lei do Cibercrime, transpondo para a ordem jurídica interna a decisão relativa à ataques contra sistemas de informação e adaptou o direito interno à Convenção sobre Cibercrime do Conselho da Europa[60].
No Japão, dentre outras leis já existentes sobre cybercrimes, o Parlamento japonês aprovou em 2011 a lei que tipifica a criação e distribuição de vírus de computadores com punição de até três anos de prisão ou multas para quem criar, distribuir, obter ou armazenar vírus[61].
Em que pese à discussão sobre as leis norte-americanas e suas violações a princípios constitucionais, há de se ressaltar que a preocupação com o cybercrime é antiga. A intensificação ocorreu no ano de 2001, durante o governo de George W. Bush - sob a escusa do terrorismo - foi aprovado o Patriot Act, que ampliou os poderes do governo para vasculhar informações privadas, bem como foi concedida autorização à Agência de Segurança Nacional para coletar dados sem a necessidade de obter ordem judicial. Em 2006 os dispositivos do Patriot Act foram renovados e em 2011 o presidente Obama assinou uma extensão de quatro anos para o Patriot Act.
Apesar de todos esses países terem promovido uma evolução de seus ordenamentos jurídicos internos, acreditamos que o combate eficaz ao cybercrime não pode ficar circunscrito a uma nação, a um sistema jurídico, pois, por mais que hermético que seja, resta ineficaz de atuar de forma isolada. A ubiquidade, princípio explicito do ciberespaço permite que o cibercriminoso transponha fronteiras com extrema facilidade e velocidade. É possível direcionar ataques virtuais em escalas globais transitando por ordenamentos jurídicos distintos e, por vezes, antagônicos.
Um incidente que exemplifica bem a transnacionalidade do cybercrime pode ser verificado nos ataques de DDoS realizados em meados de 2013 contra os servidores de computador da empresa de games alemã CipSoft. A empresa é proprietária do Massively multiplayer online role-playing game (MMORPG) Tibia, sendo que seus servidores estão localizados nos Estados Unidos e Inglaterra. Os seus clientes/jogadores estão espalhados por diversos países, tais como Brasil, México, Venezuela, Polônia, Alemanha, Estados Unidos, etc. Os danos civis e penais decorrentes dos ataques, transitaram e refletiram-se nos ordenamentos jurídicos de todos esses países ao mesmo tempo.[62]
Cientes das dificuldades jurídicas para determinação da autoria de um cybercrimes deste nível, empresas abdicam do direito de recorrer ao Judiciário e preferem equacionar o problema por meio das vias técnicas. Contudo, custos são elevados e nem todas as empresas conseguem custear as soluções tecnológicas, algumas chegam a encerrar suas atividades e o pior, o cibercriminoso fica incólume, totalmente inalcançável pelas leis e continua a praticar cybercrimes.
Observemos que isolar-se na tutela jurídica parece não ser o caminho mais adequado. Nesta esteira, filiamos-nos parcialmente à Convenção de Budapeste sobre Cybercrimes, pois, acertadamente propõe uma harmonização das normas jurídicas referentes aos cybercrimes dos países signatários.
2.2.1 A CONVENÇÃO DE BUDAPESTE SOBRE CYBERCRIME
A Convenção sobre o Cybercrime (CETS nº 185)[63] realizada na cidade de Budapeste no ano de 2001, propiciou a realização de um tratado internacional que buscava harmonizar as legislações penais e processuais sobre cybercrimes. É o mais amplo instrumento jurídico que busca na cooperação internacional meios para se combater os cybercrimes. O respectivo acordo entrou em vigor em 01 de julho de 2004 e hoje conta 11 países signatários e 42 adesões com ratificações.[64]
Cientes da potencialidade dos cybercrimes e com o “objetivo de proteger a sociedade contra a criminalidade no ciberespaço”[65] o Conselho Europeu se debruçou sobre a temática buscando equacionar a tutela jurídica em consonância com a soberania dos países membros. Em seu preâmbulo já deixa consignado a transnacionalidade e a dinâmica inerente aos cybercrimes, observa os princípios do direito internacional, bem como revela a existência de dificuldades técnicas e jurídico-politícas a serem suplantadas em acordos dessa magnitude. Nesse sentido observemos os ensinamentos de CHAWKI, Mohamed. WAHAB, Mohamed:
[...] persiste a necessidade de estabelecer normas globais e padrões para reger a conduta e comportamento no mundo virtual. Apesar da necessidade, as políticas nacionais e regionais podem colidir com essa normatização global. Isto exige regulamentação universal ou global considerando o impacto transnacional e arrebatador inerente do cybercrime. Apesar da dificuldade intrínseca na harmonização ou unificação de políticas criminais e penais, sendo uma manifestação de poder soberano e autoridade, as participações no ciberespaço têm instigado os Estados a trilharem por uma nova época de cooperação em matéria de direito penal e público território irregular e vacilante.[...]O objetivo principal da Convenção é harmonizar a legislação penal material e procedimentos de investigação internas. Eram duas as principais preocupações dos redatores da Convenção: a primeira era assegurar que as definições fossem flexíveis a ponto de se amoldar aos novos tipos de crimes e seus métodos e a segunda era manter-se sensível aos regimes jurídicos dos Estados-nação. Estas preocupações foram especialmente desafiadoras na área de direitos humanos, porque os estados têm diferentes valores morais e culturais. Por exemplo, os países europeus têm um grau muito mais elevado de proteção da privacidade do que os Estados Unidos[66]. (tradução nossa)
Após transporem as dificuldades iniciais os redatores da Convenção de Budapeste passaram a debater outros aspectos importantes, quais sejam: direito material, processual e competência. Com relação ao direito material ressaltamos para as definições e tipificações dos cybercrimes: acesso e interceptação ilegítima, interferência de dados e de sistema, uso abusivo de dispositivos, falsidade informática, fraude informática, pornografia infantil virtual e violação de direitos autorais[67].
No tocante à matéria processual são abordados os temas: âmbito das disposições processuais, condições e salvaguardas, condições fáceis de acesso aos dados informáticos armazenados, injunção, busca e apreensão, etc.[68]
A competência é tratada no artigo 22 e a cooperação internacional no artigo 23.[69]
A Convenção de Budapeste é atualmente o único instrumento jurídico de caráter global para o combate hábil aos cybercrimes. Contudo, acreditamos que a Convenção peca por tratar todos Estados signatários de forma idêntica não levando em consideração as discrepâncias e os hiatos tecnológicos de cada pais, sendo essa uma das dificuldades suscitada pelo Ministério da Administração Pública de Trinidad Tobago durante o 12º Congresso das Nações Unidas de Prevenção ao Crime e Justiça Criminal, ocorrido na cidade de Salvador (BA) em 2010:
[..]Ministério da Administração Pública de Trinidad Tobago, opõe-se à ideia ao afirmar que países de pequeno porte não teriam condições de atender às regras previstas em um tratado deste tipo - que uma vez assinado pelo país, é mandatário, ao contrário da simples adesão a um acordo regional, que não cria obrigatoriedades. "Não temos recursos materiais e humanos para seguir uma convenção neste momento"[..][70]
Não nos parece plausível construir uma "corrente de aço" e deixar alguns elos frágeis, pois, seriam justamente na fragilidade que os cibercriminosos atuariam objetivando a prática delitiva. A ação penal bem-sucedida nesses casos exige a utilização de tecnologia de ponta, bem como um sistema jurídico amadurecido e atualizado para garantir a integridade e o compartilhamento de informações além-fronteira, pressupostos esses que poucos países possuem.
Destacamos que o Brasil não é signatário da Convenção de Budapeste sobre Cybercrimes. Fato este que merece atenção, pois, ainda que apontemos algumas lacunas na respectiva Convenção, vislumbramos total capacidade técnica e jurídica nacional para recepcionar o Tratado.
Segundo a Ministra Virginia Bernardes Toniatti a Convenção ainda está sob análise, em sua visão não é interessante aderir a um Tratado sem a devida participação na discussão dos seus termos. “Nós não participamos das negociações. Não colocamos nossa marca, nossos objetivos e interesses”[71]. Convém ressaltar que vários países, como a exemplos dos Estados Unidos não fizeram parte das negociações, no entanto, são signatários da Convenção com as devidas ressalvas.
2.2.2 ENQUANTO ISSO, NO PAÍS DA COPA...
No Brasil infelizmente o atraso legislativo é grande. O legislador pátrio espera em berço esplêndido que as definições ocorram no exterior para depois debater os mesmos pontos, achar as mesmas soluções, dando uma nova roupagem e apresentando como solução original e inovadora.
Manobras como essa deixam o país em uma situação sensível perante à comunidade internacional, haja vista termos dimensões continentais, com forte inclusão digital e parcas leis para regular as demandas cibernéticas. Tais condições fazem com que o Brasil seja um dos países preferidos pelos cibercriminosos, tanto para vitimar os nacionais, quanto na utilização da nossa estrutura para promover um cybercrime direcionado a vítimas de outros países.
Legislar sobre um plano pouco conhecido, com características efêmeras, que envolvem tecnologia de ponta e soberanias dos países é tarefa extremamente complexa. Existem muitas variáveis a serem observadas, lacunas técnicas que devem ser preenchidas e interesses dos mais diversos setores da sociedade que devem ser contrapostos, objetivando um equilíbrio saudável.
O problema no Brasil é que se imiscuem nesse debate interesses nefastos, escusos e danosos à sociedade. Dessa forma, temos a elaboração de leis frágeis, com lacunas jurídicas e técnicas e inócuas que propiciam a insegurança jurídica e que terminam fomentando os cybercrimes.
A morosidade legislativa é outra grande característica do nosso Congresso Nacional. Em matéria tão volátil quanto a do ciberespaço essa leniência produz resultados negativos.
Para contextualização do que estamos abordando, o Projeto de Lei do Senado nº 152 de autoria do Senador Maurício Corrêa que define os cibercrimes de uso indevido de computador e dá outras providências data de 1991 e no ano de 2007 foi arquivado pela Câmara dos Deputados.[72] Em síntese, decorreram-se 16 anos de improdutividade legislativa.
Outros Projetos de Leis já foram apresentados no Congresso como a exemplo do PL 1204/1995 do Deputado Cássio Cunha Lima. O respectivo projeto buscava, dentre outras coisas, penalizar invasão de sistemas.[73] Em 1999 o então Deputado Luiz Piauhylino do PSDB/PE apresenta o PL 84/1999 que dispõe sobre crimes cometidos na área de informática, bem como suas penalidades.[74]
Ao entrar em discussão no Senado como PLS 89/2003, teve como relator Eduardo Azeredo(PSDB/MG), cujo nome apelidou o Projeto de Lei, depois foi popularmente chamado de AI-5 Digital em face de suas características de alto grau de controle.
O fato é que somente em 2012, ou seja, depois de 13 anos o projeto foi aprovado e transformado na Lei Ordinária 12.735/2012 e, diga-se de passagem, quase esvaziado, tendo em vista que dos 23 artigos iniciais somente 2 permaneceram na lei aprovada.
Esta lei é a representação clássica do empenho que nossos legisladores têm com a tutela dos cybercrimes. Foram 13 anos debatendo um texto legislativo onde interesses de grandes empresas do setor e instituições financeiras misturavam-se às limitações de liberdade de expressão dos usuários, além de conter dispositivos genéricos e lesivos à sociedade, um exemplo de desperdício de tempo e dinheiro público em uma matéria tão sensível.
Permeados com as características acima apontadas é que foram concebidas as duas mais importantes leis brasileiras que tutelam questões relativas ao ciberespaço.
2.2.3 CENAS DOS PRÓXIMOS CAPÍTULOS: A LEI CAROLINA DIECKMANN.
Pesa sobre a Lei 12.737/2012 que dispõe sobre a tipificação criminal dos delitos informáticos e altera o Código Penal[75], popularmente conhecida como Lei Carolina Dieckmann que ela é produto do casuísmo. O fato da atriz da Rede Globo de televisão, Carolina Dieckmann ter sido vítima de crackers que invadiram seu computador e tiveram acesso a 36 fotos íntimas e publicaram-nas na web[76] teria, segundo especialistas, sensibilizados os parlamentares a aprovarem em regime de urgência as alterações no Código Penal.
Da apresentação do Projeto de Lei 2793/2011 na Câmara dos Deputados 06/11/2011 até a transformação em Lei Ordinária 03/12/2012 transcorreu um ano.[77] Esse decurso de tempo nos leva a acreditar que não houve um amplo debate sobre a temática em pauta, o resultado foi a produção de uma lei frágil, cheia de lacunas, ineficaz e que não tutela de forma satisfatória os cybercrimes. Nesse sentido o advogado Walter Capanema, um dos principais especialista de Segurança de Informação do país, assevera:
O grande problema da Lei Carolina Dieckmann é o fato de ela não definir – de forma muito clara – o que é “invadir um dispositivo informático”, conforme está previsto no artigo 154-A do Código Penal. O que é invadir? É simplesmente obter o acesso sem autorização ou é exceder a autorização obtida? Isto precisa ficar muito bem delimitado e na Lei Carolina Dieckmann não está. O que isso ocasionará? Será a festa dos advogados de defesa.[...] Podemos levar a discussão também para o vírus. Ele é um código malicioso, um código de vulnerabilidade. Mas o que é vulnerabilidade? No direito penal, não há espaço para subjetividade. A precisão é obrigatória. O que é invadir um dispositivo? O que é violar a segurança? O que é vulnerabilidade? Conceitos que permitem a subjetividade dão margem à insegurança jurídica. E essa lei abre brechas importantes[78].
A lei recebe inúmeras críticas por parte da doutrina especializada que aponta para a ausência de definição de diversos termos técnicos, pela qualidade técnica questionável, ressaltando que faltou suporte técnico-jurídico aos legisladores na redação dos dispositivos. Bem como, acreditam que quando as demandas chegarem ao Poder Judiciário deixará de ser punida a grande parcela dos cybercrimes em face das exigências do Código Penal. Nesse sentido nós encontramos uma grande incongruência na respectiva lei com a Lei de Interceptações.
2.2.3.1 O BUG NA MATRIX – OS ERROS DE UMA LEI MAL ELABORADA.
Para a elucidação da maioria dos casos de cybercrimes, necessário se faz a quebra de sigilo de dados telemáticos de um equipamento informático. A lei que disciplina o sigilo das correspondências e das comunicações telegráficas, de dados e das comunicações telefônicas,[79] prevista no inciso XII do Art. 5º da Constituição é a Lei nº 9.296/1996 (Lei de Interceptação), que no Parágrafo Único do Artigo 1º e 2º diz:
Parágrafo único.O disposto nesta Lei aplica-se à interceptação do fluxo de comunicações em sistemas de informática e telemática.
Art. 2° Não será admitida a interceptação de comunicações telefônicas quando ocorrer qualquer das seguintes hipóteses:
I - não houver indícios razoáveis da autoria ou participação em infração penal;
II - a prova puder ser feita por outros meios disponíveis;
III - o fato investigado constituir infração penal punida, no máximo, com pena de detenção[80] Grifos nossos.
Por outra banda os crimes previstos nos artigos 154-A §§ 1º e 2º, 266 §§ 1º e 2º na Lei 12.737/2012 (Lei Carolina Dieckmann) são apenados com detenção, o que não preenche o requisito legal exigido no inciso III do artigo 2º da Lei de interceptações, que só contempla os crimes punidos com reclusão. Desta forma, a desatenção do legislador restringe o campo de atuação da policia judiciária tendo em vista que deverá trilhar na busca de provas pelas vias convencionais.
A pergunta que não quer calar é: como proceder analogicamente em um ambiente virtual? As provas de um cybercrime em regra são produzidas e estão inseridas em um equipamento informático. A análise desse equipamento só pode ser realizada por meio de mandado judicial de quebra de sigilo de dados telemáticos.
Contextualizemos em um caso prático, suponhamos que uma vítima chegue a uma delegacia de polícia buscando noticiar que teve seu computador invadido mediante violação e destruíram dados ou informações sem sua autorização expressa ou tácita. Após colher as declarações da vítima a autoridade policial se vê diante de um grande impasse, qual seja: a maioria das provas está em meio virtual; o crime de invasão de dispositivo informático (Art. 154-A) é apenado com detenção, de 3 (três) meses a 1 (um) ano, e multa,[81] para produção de provas o delegado necessita solicitar ao Magistrado, por meio de representação de quebra de sigilo de dados telemáticos, o acesso aos equipamentos envolvidos com o delito em comento. Contudo, a Lei de Interceptações em seu Art. 2º III não permite a realização de quebra de sigilo de dados telemáticos para os crimes cuja pena é de detenção. É um perfeito “beco sem saída”.
O casuísmo, a falta de compromisso e ética legislativa conduz para a produção de leis ineficazes que não se comunicam com as outras preexistentes, haja vista a inobservância das variáveis das demais leis do nosso ordenamento jurídico. Desta forma, constroem-se barreiras legais onde não deveria haver. A lei ao invés de favorecer; prejudica.
No entanto, cumpre-nos ressaltar que a Lei Carolina Dieckmann foi um grande passo dado pelo Brasil no tocante à legislação sobre cybercrimes mas, é inegável que o casuísmo é marca registrada na aprovação das leis que regulam o ciberespaço no Brasil, quiçá de nossa política criminal. Fato este também verificado no Marco Civil da internet.
2.2.4 O MARCO CIVIL DA INTERNET ( LEI 12.965/2014 )
Os incidentes de ciberespionagem envolvendo o Governo norte-americano e chefes de estados de outros países, dentre eles a presidente do Brasil Dilma Rousseff, desencadeou uma forte pressão no Congresso Nacional para aprovação da Lei 12.965/2014 (Marco Civil da Internet). Sendo este, mais um episódio clássico onde as leis brasileiras são calcadas no caso concreto ao invés de se estabelecerem pelas regras gerais do direito.
O Marco Civil da Internet foi aprovado em 24 de abril de 2014 e em verdade destacamos positivamente os 3 anos de debate da matéria. Apesar da existência muitos pontos controversos, boa parte do texto da lei já havia sido discutido. O que de certa forma mostra um avanço legislativo com relação à aprovação da Lei Carolina Dieckmann. Contudo, a espionagem da agência nacional de segurança norte americana NSA, denunciada por Edward Snowden ex-funcionário da NSA, terminou por catalisar a aprovação da lei e questões sensíveis tiveram que ser resolvidas sem aprofundar o debate.
A Lei disciplina o uso da internet no Brasil tendo como fundamento o respeito à liberdade de expressão e estabelece princípios, garantias, direitos e deveres para o seu uso[82]. Motivo pelo qual a mídia nacional classifica a lei como a Constituição da Internet.
O Marco Civil tem uma natureza ampla e abarca questões elementares e de escopo civil, no entanto restou positivada a guarda de registro de logs, pleito defendido pela Policia Federal sob alegação de que a guarda de registros de acesso à internet subsidiaria investigações de cybercrimes.
Esse trabalho não tem o condão de fazer uma análise minuciosa do Marco Civil, contudo, cumpre-nos destacar que a existência de elementos perniciosos no bojo do texto da nova lei é deveras preocupante, ressaltamos aqui a guarda de registro de acesso contemplada no artigo 15, vejamos:
Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.[83] (grifos nossos)
Para além da redação técnica desse comando legislativo, podemos concluir que: todos os usuários brasileiros terão guardado seus registros de acesso à internet por 6 meses, independente de terem ou não cometido um ilícito penal na esfera cibernética, o que na nossa análise é uma flagrante violação ao principio da privacidade garantida pela própria lei em análise. O interesse desse artigo é facilitar investigações futuras, no entanto, ao custo de um monitoramento integral e generalizado[84]. Isso mostra que o Estado é seriamente limitado no controle do crime na pós-modernidade, como não consegue prover segurança para seus cidadãos passa a marcar a política criminal com negação e gestos expressivos.[85]
Diante de todo o exposto podemos constatar que diversos problemas técnicos e jurídicos permeiam a seara do ciberespaço dificultando a determinação da autoria dos cybercrimes. São leis frágeis e incompletas para tutelar um ambiente onde os elementos possuem características efêmeras e são dotados de complexidades tecnológicas.
Ações isoladas por meio de legislações nacionais, ainda que juridicamente perfeitas, não conseguem eficácia no ambiente ubíquo do ciberespaço. Um bom exemplo disso são os Estados Unidos, pois, possuem um vasto arcabouço jurídico sobre os cybercrimes e ainda sim, são uns dos principais alvos dos cibercriminosos.
As legislações de alcance universal, como a exemplo da Convenção de Budapeste sobre Cybercrimes é um dos melhores instrumentos em busca de uma tutela eficaz, posto que uniformiza o direito material e processual penal nos países membros, entretanto, deixa falhas quando obriga o país signatário menos desenvolvido a adotar às mesmas adequações legais dos países desenvolvidos, sem a observância do grau da evolução tecnológica, da capacitação humana e recursos tecnológicos que cada estado membro possuí.
Neste contexto, o Brasil sempre tratou a matéria com desídia e morosidade, beirando à irresponsabilidade. Atualmente as autoridades buscam meios de ajustar e atualizar nossos mecanismos legais para obter uma tutela jurídica satisfatória, criando leis que tipificam e penalizem as demandas ilegais do ciberespaço.
Conforme já observamos, soluções isoladas não conseguem eficácia no plano do ciberespaço, sendo necessárias medidas de atuação regionalizadas objetivando a harmonização legislativa respeitando as diferenças jurídicas e tecnológicas entre os países.
Urge, portanto, que a cooperação internacional se faça presente objetivando tutelar de forma satisfatória as demandas oriundas dos cybercrimes, em especial, os cybercrimes próprios.