3. Direito Penal e Crimes Informáticos
Com o advento da era digital e o avanço exacerbado da internet e dos dispositivos informáticos, novos crimes e novas formas de execução foram sendo criadas e aperfeiçoadas nos crimes informáticos, de maneira que, cada vez mais, dificultou-se precisar quando o crime foi cometido, em que lugar se deu, quem seria competente para julgar crimes plurilocais e outras tantas questões penais que se tornaram cada vez mais controvertidas. Discorrer-se-á, a seguir, sobre algumas questões penais importantes e a sua aplicabilidade com relação aos crimes informáticos.
3.1. Tempo do crime
A fixação do instante em que o crime foi praticado é importante sob vários aspectos, mormente para, entre outras hipóteses legais, determinar a lei vigente no momento que o delito se consumou, no caso de sucessão de leis penais, para aferir a inimputabilidade penal, ou seja, se o agente tinha 18 anos na ocasião da consumação, ou se ao tempo da ação ou omissão era inteiramente incapaz de entender o caráter ilícito do fato ou ao menos se determinar de acordo com esse entendimento, além do exame das circunstâncias do crime e aplicação de eventual anistia condicionada no tempo.
Para Andreucci (2010, p. 102) “a questão referente ao tempo do crime apresenta particular interesse quando, após realizada a atividade executiva e antes de produzido o resultado, entra em vigor nova lei, alterando os dispositivos
sobre conduta punível”. Nesse mister, o autor levanta o seguinte questionamento: “Qual a lei deve ser aplicada ao criminoso: a do tempo da atividade ou aquela em vigor por ocasião da produção do resultado?”, assim apresenta três teorias a respeito:
- Teoria da atividade, segundo o qual se considera praticado o delito no momento da ação ou omissão, aplicando-se ao fato a lei em vigor nessa oportunidade;
- Teoria do resultado, segundo o qual se considera praticado o delito no momento da produção do resultado, aplicando-se ao fato a lei em vigor nessa oportunidade;
- Teoria mista ou ubiquidade, segundo o qual o tempo do crime é indiferentemente o momento da ação ou do resultado, aplicando-se qualquer uma das leis em vigor nessas oportunidades. (ANDREUCCI, 2010, p. 102)
Assim, o nosso Código Penal adotou a teoria da atividade no seu art. 4.º, que diz: “Art. 4.º Considera-se praticado o crime no momento da ação ou omissão, ainda que outro seja o momento do resultado.” Portanto, considera-se tempo do crime o momento da ação ou omissão do agente, ou seja, no momento da prática da conduta prevista da norma penal incriminadora.
Sendo assim, com relação aos crimes informáticos, o tempo do crime é de suma importância, pois o agente pode ter cometido algum ato delituoso não previsto, na época, em nossa Lei Penal. Isso torna-se uma tarefa árdua aos julgadores, visto que, atualmente, tem-se pouca matéria tipificada sobre crimes informáticos enquanto há um universo de possibilidades para os agentes que cometem esse tipo de crime.
3.2. Local do crime
A fixação do lugar do crime é importante para fins de delimitar a competência do órgão jurisdicional para julgar o caso. Novamente Andreucci (2010, p. 112) nos traz três teorias que procuram solucionar o problema:
- Teoria da atividade, segundo a qual o local do crime é aquele onde é praticada a conduta criminosa (ação ou omissão);
- Teoria do resultado, segundo a qual o local do crime é aquele onde ocorre o resultado; e
- Teoria mista ou da ubiquidade, também conhecida por teoria da unidade, segundo a qual o local do crime é aquele onde ocorreu tanto a conduta quanto o resultado, ou seja, qualquer etapa do iter criminis.
O legislador adotou em nosso Código Penal a teoria da ubiquidade, de maneira que se considera “praticado o crime no lugar em que ocorreu a ação ou omissão, no todo ou em parte, bem como onde se produziu ou deveria produzirse o resultado”.[9]
A importância de se definir o lugar do crime ganha destaque nos casos de tentativa, em que, iniciada a execução do crime, este não se consuma por circunstâncias alheias à vontade do agente, bem como na hipótese de crimes a distância, naquelas infrações em que a ação ou omissão se dá em um país e o resultado em outro, situação muito comum quando se trata de crimes informáticos.
Interpretando a norma trazida, desde que no Brasil tenham sido praticados atos de execução, no todo ou em parte, ou aqui se tenha produzido o resultado do comportamento ilícito, é de aplicar-se a legislação pátria. Numa abordagem de questões de jurisdição e territorialidade nos crimes praticados por meio da internet, Valin (2000, p. 116) aponta problema para análise do caso quanto a situação compreender a segunda figura da norma comentada, ou seja, quando se considerar praticado o crime onde se produziu ou deveria produzir-se o resultado, “principalmente com o que diz respeito aos crimes que podem ser cometidos com a divulgação de informações, o ataque a servidores e furto de dados”.
O mesmo autor exemplifica levantando a hipótese de um ataque estrangeiro que acabe por retirar do ar um servidor de renome como o Yahoo, fisicamente não presente no território nacional, de forma que não permite que um usuário brasileiro possa acessá-lo no período.
Nessa hipótese, em que o crime realmente surtiu os seus efeitos e lesionou um bem juridicamente protegido de um cidadão brasileiro, qual seja, o direito de acesso à informação[10], pela análise fria da legislação, poderia ser julgado pelo Direito pátrio, ainda que o autor do delito e o portal Yahoo, vítima principal, não estejam fisicamente no território nacional. Porém, Valin (2000, p. 116-117) questiona se seria eficaz o julgamento realizado no Brasil, até por uma questão de aplicabilidade da lei penal.
Propõe o autor a revisão da matéria por meio de regras estabelecidas em tratado internacional, sendo adotado, para os crimes praticados por meio da internet, “algo semelhante à teoria da atividade que determina como sendo o local do crime aquele em que o agente praticou o delito”, definindo-se qual o local efetivo da prática do ato, “se é o local onde se encontra o autor, ou se é o local em que as ofensas foram publicadas” (VALIN, 2000, p. 116-117).
Na opinião do autor, a melhor solução seria considerar como local do crime “aquele em que está o autor da infração”. Justifica sua posição por considerar o país de domicílio do réu o melhor para aplicar eventual pena, além de evitar o processo de extradição, sempre moroso, bem como por ser o país do local da publicação o único com poder legal para retirar a página da rede, o que eventualmente poderá ser feito por meio de outro processo, independente do criminal.
3.3. Competência para julgar crimes plurilocais
A doutrina definiu crimes plurilocais como sendo “aqueles em que a ação ou a omissão se deu em um determinado local e o resultado em outro, mas dentro do território nacional (NUCCI, 2005). Tendo em vista as peculiaridades, é justamente dentro do conceito de crimes plurilocais que se insere a maior gama dos crimes praticados por meio da internet, como o furto mediante fraude, por exemplo.
Se imaginarmos a situação hipotética em que, após ter feito emprego de um keylog e subtrair dados da vítima, o agente conecta-se a um provedor de banda larga de Foz do Iguaçu – PR, acessa a home banking de uma instituição financeira particular de Marília – SP, onde fornece o número da conta corrente e a senha do cliente, e efetua a transferência de um valor razoável da conta bancária até a conta de um terceiro, situada em uma agência de Balneário Camboriú – SC. A vítima somente percebe a subtração no dia seguinte, quando o agente já providenciou o saque do valor respectivo da conta corrente do terceiro, para onde o valor tinha sido transferido de forma fraudulenta.
Percebe-se no exemplo trazido que o iter criminis se iniciou em Foz do Iguaçu – PR, passou por Marília – SP e se consumou em Balneário Camboriú – SC. Assim, como se delimita a competência no caso em tela? É de suma importância saber precisar a competência nesse caso, pois, como já dito, a maioria dos crimes cometidos pela internet tem essa característica.
Levando em consideração a regra geral de competência em razão do foro, prevista no art. 70 do Código de Processo Penal, o juízo da Comarca de Marília – SP é que deve conhecer e julgar o processo. Conforme abordado anteriormente, o furto é um crime material cuja consumação se verifica com a produção do resultado naturalístico. Segundo Nucci (2005, p. 223), “tal regra somente tem pertinência aos crimes materiais, isto é, aqueles que possuem resultado naturalístico e pode haver clara dissociação entre ação, omissão e resultado”. Portanto, fica afastada essa regra nos casos de crimes formais ou de mera conduta, cuja consumação se dá com ação de omissão.
Essa questão não é pacífica na doutrina, tanto é que Inellas (2004) defende a tese de que os crimes praticados por meio da internet são crimes formais. Para o autor, tais delitos se consumam no “local onde foi realizada a ação” (INELLAS, 2004, p. 85). Outros autores como Furlaneto Neto (2003) discordam desse posicionamento: “é verdade que a grande rede mundial de computadores trouxe a necessidade de algumas reflexões nos campos de Direito Penal e Processual Penal, porém, por si só, não teve o condão de modificar alguns institutos jurídicos.”
Nesse contexto, como já abordado ao apresentar a classificação dos crimes informáticos, há crimes já tipificados pela legislação e que não sofreram nenhuma alteração com o surgimento da internet, apenas tivemos a modificação do seu modus operandi. É sabido que algumas condutas necessitam ser reexaminadas, tais como, a título de exemplo, o furto de tempo[11], cuja ação, no entendimento de Inellas (2004), se amolda por equiparação ao furto de energia elétrica, bem como o dano perpetrado pela disseminação de vírus, porém, assim como o tipo penal do homicídio não precisou ser modificado com o surgimento da arma de fogo, não se faz necessária a alteração de inúmeros crimes já tipificados pelo nosso Código e leis extravagantes com o fundamento no surgimento da internet.
Tendo em vista a dupla subjetividade passiva do crime de furto mediante fraude praticado por meio da internet, se o dinheiro subtraído estivesse depositado em uma agência da Caixa Econômica Federal, por se tratar de uma empresa pública, a competência para conhecer e julgar o crime seria da Justiça Federal, conforme entendimento do STJ:
CONFLITO NEGATIVO DE COMPETÊNCIA. PENAL E PROCESSO PENAL. FRAUDE ELETRÔNICA NA INTERNET. TRANSFERÊNCIA DE NUMERÁRIO DE CONTA DA CAIXA ECONÔMICA FEDERAL. FURTO MEDIANTE FRAUDE QUE NÃO SE CONFUNDE COM ESTELIONATO. CONSUMAÇÃO. SUBTRAÇÃO DO BEM. APLICAÇÃO DO ART. 70 DO CPP. COMPETÊNCIA DA JUSTIÇA FEDERAL PARANAENSE. (...) 2. Hipótese em que o agente se valeu de fraude eletrônica para a retirada de mais de dois mil e quinhentos reais de conta bancária, por meio da "Internet Banking" da Caixa Econômica Federal, o que ocorreu, por certo, sem qualquer tipo de consentimento da vítima, o Banco. (...) No caso em apreço, o desapossamento que gerou o prejuízo, embora tenha se efetivado em sistema digital de dados, ocorreu em conta corrente da Agência Campo Mourão/PR, que se localiza na cidade de mesmo nome. Aplicação do art. 70 do Código de Processo Penal. 5. Conflito conhecido para declarar competente o Juízo Federal de Campo Mourão - SJ/PR. (STJ, CC nº 200601661530 (67343), GO, 3ª S., Relatora Min. Laurita Vaz)
Tendo como base a ementa supracitada e o entendimento utilizado pela Relatora Min. Laurita Vaz, no caso do furto mediante fraude exemplificado anteriormente, por se tratar de instituição financeira particular, a competência seria da Justiça Comum de Marília – SP, local onde se situa a agência bancária. Nesse sentido, há também entendimento do TRF da 4ª Região:
PROCESSO PENAL. COMPETÊNCIA. TRANFERÊNCIA FRAUDULENTA PRATICADA PELA INTERNET. SUBTRAÇÃO DE VALORES DEPOSITADOS EM BANCO. FURTO MEDIANTE FRAUDE. COMPETÊNCIA. LOCAL DA SUBSTRAÇÃO. 1. Em que pese a existência de recentes julgados desta Corte entendendo tratar-se de estelionato (com a divergência deste Relator) firmou-se a jurisprudência do Superior Tribunal de Justiça no sentido de que a hipótese de subtração, por meio eletrônico, de valores depositados em instituição bancária configura o crime de furto mediante fraude. 2. Modificada a orientação da 4ª Seção para, com base nos precedentes citados, declarar competente a Subseção Judiciária onde está situada a agência que mantém a conta corrente da qual os valores foram subtraídos. (TRF 4ª R., SER 2007.71.00.000608-6, 8ª T., Rel. Des. Fed. Luiz Fernando Wowk Penteado, DJe de 21.11.2007)
Importante salientar que as demais regras de competência previstas no CPP devem ser aplicadas à criminalidade informática, conforme o entendimento de Castro (2003) e todas elas auxiliam no sentido de esmiuçar a complexidade que se percebe em alguns delitos informáticos, tanto pela sua complexidade técnica, quanto pela complexidade jurídica.
Na tentativa de sanar a lacuna existente na legislação penal com relação aos crimes informáticos, o legislador, por meio da Lei 12.737, cria um novo tipo penal “invadir dispositivo informático” e, assim, inúmeras questões surgem em torno dessa nova modalidade. O objetivo do capítulo a seguir é apresentar, de uma forma geral, porém abrangente, essa alteração feita pelo legislador e as inúmeras consequências que dela se originam.
4. Legislação Brasileira e Crimes Informáticos
Como já visto anteriormente, muitos criminosos informáticos não são devidamente repreendidos, por conta de ausência de legislação que regule o comportamento do agente a fim de punir atividades ilícitas na internet ou contra dispositivos informáticos. Sendo assim, cada vez mais se faz necessária a presença de uma legislação ampla e abrangente, de maneira a não deixar lacunas e tentar preencher o máximo todas as possibilidades já encontradas de crimes informáticos. Vale lembrar que existem os crimes informáticos impróprios que já estão previstos no nosso Código Penal e não é sobre eles que há necessidade de legislar, mas sim sobre os crimes informáticos próprios, aqueles em que a internet, o computador e os dispositivos informáticos são alvos do agente criminoso.
Foi com esse objetivo que, em 2012, entrou em vigor a Lei 12.737 que altera o Código Penal e dá outras providências. Tida como novidade no âmbito jurídico, a Lei Carolina Dieckmann, como é conhecida pela imprensa, tenta exaurir essa lacuna existente na legislação penal quanto aos crimes informáticos. Será devidamente abordada em tópico especial.
4.1. Lei 12.737 de 30 de novembro de 2012
Apelidada de “Lei Carolina Dieckmann”, a Lei nº 12.737, de 30 de novembro de 2012, entrou em pleno vigor no último dia 3 de abril de 2013, alterando o Código Penal para tipificar os crimes informáticos propriamente ditos (invasão de dispositivo telemático e ataque de denegação de serviço telemático ou de informação), ou seja, aqueles voltados contra dispositivos ou sistemas de informação e não os crimes praticados por meio do computador e que já são previstos no ordenamento penal.
Colateralmente equiparou o cartão de crédito ou débito como documento particular passível de falsificação. A lei é fruto de projeto apresentado pelo Deputado Federal Paulo Teixeira (PT-SP), cujo trâmite foi acelerado depois da invasão, subtração e exposição na internet de fotografias íntimas da referida atriz.
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
O professor Eduardo Cabette[12], autor do livro Direito Penal – Parte Especial I da coleção Saberes do Direito (2013) tece comentários, em seu blog, à Lei supramencionada e assim se manifesta:
É interessante notar que a legislação sob comento acabou ganhando o epíteto de “Lei Carolina Dieckmann”, atriz da Rede Globo de televisão que foi vítima de invasão indevida de imagens contidas em sistema informático de natureza privada e cujo episódio acabou acelerando o andamento de projetos que já tramitavam com o fito de regulamentar essas práticas invasivas perpetradas em meios informáticos para modernização do Código Penal Brasileiro. Antes disso, era necessário tentar tipificar as condutas nos crimes já existentes, nem sempre de forma perfeita. A questão, sob esse ponto de vista, é agora solucionada pela Lei 12.737/12.
Quanto ao bem jurídico tutelado pela Lei em comento, o autor diz que:
O bem jurídico tutelado é a liberdade individual, eis que o tipo penal está exatamente inserido no capítulo que regula os crimes contra a liberdade individual (artigos 146 – 154, CP), em sua Seção IV – Dos Crimes contra a inviolabilidade dos Segredos (artigos 153 a154 – B, CP). Pode-se afirmar também que é tutelada a privacidade das pessoas (intimidade e vida privada), bem jurídico albergado pela Constituição Federal em seu artigo 5º., X. Percebe-se, portanto, que a tutela é individual, envolvendo os interesses das pessoas (físicas e/ou jurídicas) implicadas, nada tendo a ver com a proteção à rede mundial de computadores e seu regular funcionamento.
E segue o citado autor ao se referir aos sujeitos ativo e passivo:
O crime é comum, de modo que pode ser sujeito ativo qualquer pessoa. O mesmo se pode dizer com relação ao sujeito passivo. O funcionário público também pode ser sujeito ativo dessa infração, mas a lei não prevê nenhuma causa de aumento de pena. Pode-se recorrer nesse caso às agravantes genéricas previstas no artigo 61, II, “f” ou “g”, CP, a depender do caso. Também pode ser sujeito passivo a pessoa jurídica. É óbvio que as pessoas jurídicas também podem ter dados ou informações sigilosas abrigadas em dispositivos informáticos ligados ou não à rede mundial de computadores, os quais podem ser devassados, adulterados, alterados ou destruídos à revelia da empresa ou do órgão responsável. Isso se torna mais que patente quando se constata previsão de qualificadora para a violação de segredos comerciais ou industriais e informações sigilosas definidas em lei (artigo 154 – A, § 3º., CP), o que deixa claro que podem ser vítimas pessoas jurídicas de direito privado ou público. Entende-se que melhor andaria o legislador se houvesse previsto um aumento de pena para a atuação do funcionário público no exercício das funções, bem como para os casos de violação de dados ou informações ligados a órgãos públicos em geral (administração direta ou indireta).
Também será sujeito passivo do crime qualificado, nos termos do § 3º.
do dispositivo, o titular do conteúdo de “comunicações eletrônicas privadas, segredos comerciais ou industriais ou informações sigilosas, assim definidas em lei”. Podem ainda ser sujeitos passivos empresas privadas concessionárias ou permissionárias de serviços públicos também com relação a qualquer dos entes federativos. O sujeito passivo da infração é, portanto, qualquer pessoa passível de sofrer dano moral ou material decorrente da ilícita obtenção, adulteração ou destruição de dados ou informações devido à invasão ou violação de seu sistema informático, mediante vulneração de mecanismo de segurança. Assim também é sujeito passivo aquele que sofre a instalação indevida de vulnerabilidades em seu sistema para o fim de obtenção de vantagens ilícitas.
Ainda, o autor trata da consumação e tentativa acerca do novo crime previsto pelo Código Penal:
O crime é formal e, portanto, se consuma com a mera invasão ou instalação de vulnerabilidade, não importando se são obtidos os fins específicos de coleta, adulteração ou destruição de dados ou informações ou mesmo obtenção de vantagem ilícita. Tais resultados constituem mero exaurimento da infração em estudo. Não obstante formal, o ilícito é plurissubsistente, de forma que admite tentativa. É plenamente possível que uma pessoa tente invadir um sistema ou instalar vulnerabilidades e não o consiga por motivos alheios à sua vontade, seja porque é fisicamente impedida, seja porque não consegue, embora tente violar os mecanismos de proteção.
Por fim, o autor faz uma classificação doutrinária do crime de invasão de dispositivo, classificando-o da seguinte forma:
O crime é comum, já que não exige especial qualidade do sujeito ativo. É também formal porque não exige no tipo básico (simples) resultado naturalístico para sua consumação, mas a mera invasão ou instalação de vulnerabilidade. Também é formal na figura equiparada porque não exige que o material para a prática delitiva cheque efetivamente às mãos do destinatário, ou seja, realmente utilizado. Já nas figuras qualificadas é material porque exige para consumação a obtenção efetiva de conteúdo ou o controle remoto não autorizado do dispositivo invadido. Em qualquer caso o crime é plurissubsistente, admitindo tentativa. Trata-se ainda de crime instantâneo, comissivo, doloso (não há figuras culposas ou omissivas) e unissubjetivo ou monossubjetivo porque pode ser perpetrado por uma única pessoa, não exigindo concurso. Também pode ser comissivo por omissão quando um garante deixar de cumprir com seu dever de agir nos termos do artigo 13, § 2º., CP. Finalmente trata-se de crime simples por tutelar apenas um bem jurídico, qual seja a privacidade e o sigilo de dados e informações contidos em dispositivos informáticos de qualquer natureza.
Apresentando essa alteração da Lei Penal de uma forma mais objetiva, o Ministério Público de São Paulo[13], tece comentários e interpretações ao novo crime de invasão de dispositivos informáticos:
O objeto jurídico tutelado pela norma é a liberdade individual do usuário do dispositivo informático. As penas para esses delitos são de reclusão de 3 (três) meses a 1 (um) ano de detenção, e multa, podem aumentar de 1/6 a 1/3 se a invasão resulta prejuízo econômico. O crime é qualificado, com penas que vão de 6 (seis) meses a 2 (dois) anos de reclusão e multa, caso a conduta não configure outro crime mais graves, quando a invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações definidas em lei como sigilosas. Se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidas, a pena do crime qualificado será também aumentada de 1/3 a 2/3.
Quanto às penas previstas:
As penas, conforme os casos, (tipos simples ou qualificados) serão aumentadas de 1/3 até a metade, se o crime for praticado contra Presidente da República, Governadores e Prefeitos, Presidente do Supremo Tribunal Federal, da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal, ou dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.
Quando não se caracteriza o crime de invasão de dispositivo:
Importante salientar que se a conduta for mais grave que a simples invasão com a finalidade de obtenção, adulteração ou destruição dos dados ou informações, ou a instalação de vulnerabilidades, como por exemplo, fraudes em netbanking (furto qualificado, como já visto anteriormente), estelionato ou extorsão, interceptação de comunicação telemática, o crime de invasão de dispositivo informático será desconsiderado, porque constituirá somente um meio para o cometimento daquelas condutas. Para que o criminoso possa ser investigado pela Polícia e processado pelo Ministério Público, é preciso que a vítima autorize, oferecendo a representação. O Ministério Público pode processar diretamente o criminoso somente quando o crime é praticado contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.
Interrupção de serviço telemático ou de informação pública, alterando a denominação prevista pelo art. 266 do Código Penal:
O art. 266 do Código Penal pune a conduta de interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento, estabelecendo penas que variam de 1 (um) a 3 (três) anos de reclusão e multa, que são aplicadas em dobro em caso de calamidade pública. A Lei nº 12.327 alterou a denominação do crime do art. 266 do Código Penal, acrescentando que a interrupção de serviço telemático ou de informação de utilidade pública, bem como impedir ou dificultar-lhe o restabelecimento também é crime. Essa interrupção ou impedimento pode ser realizada de várias formas (crime de forma livre), por exemplo, a destruição física de uma determinada rede. Mas também pode ser feita mediante um ataque virtual, o qual também está contemplado pela alteração legislativa.
Alguns exemplos de crimes de interrupção de serviço telemático ou de informação pública:
Portanto, hoje, no Brasil, é crime a conduta denominada ataque de denegação de serviço (DOS/DDOS). O DOS (denial of service[14]) não constitui geralmente uma invasão de sistema alvo, mas uma sobrecarga de acessos que fazem com que o fluxo de dados da rede seja interrompido. É chamado de ataque de denegação de serviço difundido ou DDOS (distributed denial of service) quando o criminoso infunde por meio de seu computador (mestre) vulnerabilidades ou programas maliciosos em vários computadores (zumbis), fazendo com que contra a vontade ou mesmo sem que os usuários afetados percebam, acessem simultaneamente ou sequencialmente o serviço que pretende ser travado.
Quanto à equiparação do cartão de crédito como documento particular:
A nova Lei também equiparou o cartão de crédito ou débito com o documento particular, transformando-os em objetos materiais do crime de falsidade documental. Para a configuração do crime basta que exista a inserção de dados impregnados na tarja magnética (parte juridicamente relevante do documento), que permite o acesso a sistemas bancários ou de crédito pertencentes a determinado correntista, não emitidos pela instituição correspondente. Todavia, somente a conduta de falsificar no todo ou em parte o cartão será considerado crime, o que não ocorre com a simples posse de um cartão clonado por quem não foi responsável pela falsificação. Se utilizado o cartão e alcançado o dano patrimonial, em regra, tratar-se-á de crime de furto qualificado pela fraude e a falsidade será absorvida.
Concluindo os comentários à Lei nº 12.737
Como visto, a Lei nº 12.737, embora represente certo avanço ao tipificar crimes informáticos próprios, contém inúmeras deficiências e confrontos com o sistema penal e processual penal vigente, a exemplo do que foi trazido no capítulo II desse trabalho, que devem ser delicadamente analisados quando for tratado esse tipo de crime. Os crimes informáticos próprios são a porta de entrada para outras condutas criminosas, facilitando a utilização do computador como instrumento para cometer delitos.
O legislador não contemplou a invasão de sistemas, como os de clouding computing[15], por exemplo, optando por restringir o objeto material àquilo que denominou dispositivo informático, sem, contudo, defini-lo.
Atividades de comercialização de cracking codes[16] e de engenharia reversa de software[17] também não foram objeto da norma.
Por fim, o Centro de Apoio Operacional Criminal do Ministério Público do Estado de São Paulo, conclui com algumas reflexões acerca da nova lei, bem como algumas críticas relevantes:
Além das imperfeições na redação dos tipos, as penas cominadas na nova lei são ínfimas se considerada a potencial gravidade das condutas incriminadas, bastando dizer que um ataque de denegação de serviço pode colocar em risco vidas de uma população inteira. Implicam, por outro lado, a competência do Juizado Especial Criminal, cujo procedimento sumaríssimo é incompatível com a complexidade da investigação e da produção da prova de crimes de alta tecnologia (perícia no dispositivo informático afetado, por exemplo).
Em síntese, os tipos e penas da Lei nº 12.737 se mostram carentes de abrangência, no sentido que se trata de uma lei que visa exaurir toda uma atividade criminosa nova. É cristalino o fato de que a internet criou um “universo paralelo” onde inúmeras coisas novas surgem com o passar do tempo. Embora muitas dessas coisas sejam para o benefício e utilidade da sociedade, há que ter em mente que os criminosos também estão criando novas maneiras de cometer crimes e isso o legislador deve levar em consideração ao criar leis para esse fim.
Mesmo tendo sido um avanço e tanto a tipificação de invasão de dispositivos informáticos, muito ainda há que ser feito com relação às atitudes delituosas na internet. Conforme visto anteriormente, muitos crimes comuns na internet não são contemplados pela nossa legislação vigente e, com o surgimento cada dia mais precoce de atitudes ilícitas na internet e nos meios eletrônicos, cada vez mais a sociedade clama por regramentos e possíveis sanções para determinados indivíduos que estão utilizando-se dessas ferramentas para o cometer delitos. Com o objetivo de tornar a legislação mais abrangente, inúmeros projetos de lei vão surgindo na Câmara, todos com o objetivo de estreitar as lacunas legislativas existentes a fim de tipificar e regulamentar as mais variadas situações existentes no meio eletrônico, sobretudo na internet.
4.2. Propostas Legislativas acerca dos Crimes Informáticos
Como visto, com o objetivo de estreitar as lacunas existentes na legislação quanto às atitudes na internet e nos meios eletrônicos, inúmeros projetos de lei surgem na Câmara, alguns sem muita relevância, outros com total importância e abordando temas muito comuns na internet, mas que não possuem uma regulamentação e controle necessários. A exemplo disso temos o projeto de lei n.º 7758/14, do deputado Nelson Marchezan Junior (PSDB-RS), que tipifica penalmente o uso de falsa identidade através da rede mundial de computadores.
Cabe lembrar que o art. 307 do Código Penal já prevê o crime de falsa identidade. Todavia, o projeto de lei visa acrescentar ao art. 307 os perfis falsos encontrados na internet e que tem por objetivo de prejudicar, intimidar, ameaçar, obter vantagem ou causar dano a outrem, em proveito próprio ou alheio. Nesse sentido, vejamos a atual redação do art. 307 e a respectiva alteração que ocorreria com o projeto de lei:
Falsa identidade
Art. 307 - Atribuir-se ou atribuir a terceiro falsa identidade para obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem.
Pena - detenção, de três meses a um ano, ou multa, se o fato não constitui elemento de crime mais grave.
O projeto de lei 7.758/14 prevê o seguinte:
Art. 1º Esta lei tipifica penalmente o uso de falsa identidade na rede mundial de computadores.
Art. 2º O art. 307 do Decreto-Lei no 2.848, de 7 de dezembro de 1940, passa a vigorar acrescido do seguinte parágrafo único:
Art. 307. Atribuir-se ou atribuir a terceiro falsa identidade, inclusive por meio da rede mundial de computadores ou qualquer outro meio eletrônico, com o objetivo de prejudicar, intimidar, ameaçar, obter vantagem ou causar dano a outrem, em proveito próprio ou alheio:
Pena – detenção, de três meses a um ano, ou multa, se o fato não constitui elemento de crime mais grave.
A respeito do citado projeto de lei, Marcelo Xavier de Freitas Crespo[18] e Coriolano Aurélio de Almeida Camargo Santos[19] tecem comentários no site Migalhas20. E assim se manifestam:
Em primeiro lugar, o projeto como proposto não tem um parágrafo único como menciona o seu art. 2º, mas apenas uma alteração no caput do art. 307 do Código Penal, portanto o próprio projeto fala uma coisa e propõe outra...
Em segundo lugar, a proposta pretende tratar do assunto como se as condutas de criação de perfis falsos nas redes sociais fosse algo que, por ser atividade recente praticada com uso de tecnologia, demandaria intervenção na legislação penal. Vimos acima que isso é um tremendo equívoco.
Em terceiro lugar, o argumento para a necessidade de intervenção penal neste caso é falho porque não faz o menor sentido criar uma figura típica apenas porque determinado crime passou a ser praticado com o auxílio de uma ferramenta tecnológica. Seria como criar um crime específico de homicídio para casos em que houvesse o uso de arma de fogo ou um pedaço de pau! Evidentemente, algumas ferramentas (como a Internet) podem propiciar uma exposição bastante maior da vítima em determinados casos. Mas isso não seria justificativa para a criação de um novo tipo penal e sim de uma figura agravada ou qualificada do delito já existente.
Percebe-se que os autores criticam o projeto de lei no sentido de que não há um novo tipo penal criado pelos perfis falsos na internet, mas sim, uma qualificadora de um tipo penal já existente, o de falsa identidade no art. 307, sendo, portanto, um crime informático impróprio como já visto anteriormente. Quanto à pena já aplicada pelo art. 307, os autores novamente criticam o projeto de lei:
O projeto se justificaria se fosse uma proposta para aumentar a pena da conduta prevista no art. 307, caso fosse praticado em ambiente da Internet, mas sequer previu pena maior para esta situação. A pena é idêntica à prevista no Código Penal. Então, indaga-se: para que esta mudança? Mais uma mudança que seria absolutamente inócua na prática.
Por fim, não fosse isso suficiente, o texto do art. 307, segundo o projeto, passaria a contar com as finalidades especificas de “prejudicar, intimidar, ameaçar”, o que é prejudicial porque “prejudicar” é termo atécnico e vago, e caso seja a intenção de ameaçar, o crime de ameaça já seria imputado a título de concurso de crimes. Intimidar, por fim, é pressuposto da ameaça. Vê-se, portanto, que o projeto não merece prosperar nos termos em que se encontra.
Os autores criticam a criação de um projeto que nada mais seria do que uma redundância legislativa. E, com isso, concluem que:
Lembramos que em casos de Direito Digital, quase sempre é melhor deixar a legislação como está do que promover alterações pontuais desprovidas de análise contextual, até porque a tecnologia muda muito mais rapidamente que qualquer intervenção legislativa. Sabemos que nossos legisladores são ávidos por alterações pontuais, o que os auxilia a ganhar destaque nas mídias, embora as mudanças propostas representem pouca efetividade em vários casos. Mas isso deve ser evitado.
Em Direito Digital, é preciso parar com as tentativas de invenção da roda e, mais do que nunca, é caso de ouvir especialistas que sejam reconhecidamente autoridades no assunto antes de cometer equívocos ao modificar a legislação.
A respeito do mesmo projeto de lei, a EBC (Empresa Brasil de Comunicação) entrevistou[20] o advogado e professor de Direito Digital, Rafael Maciel, que falou aos ouvintes da Rádio Nacional de Brasília sobre o crime de falsa identidade na internet e de que forma a legislação brasileira lida ou deveria lidar com este tipo de infração no meio digital:
Rafael Maciel explicou que o crime de falsidade ideológica já está previsto há muitos anos na Constituição Brasileira e que, por esta razão, o projeto de lei que tramita na Câmara é equivocado, uma vez que, segundo ele, o Código Penal não especifica lugares ou ambientes em que o crime tenha que ser cometido para haver punição.
O advogado ressaltou, ainda, que a ideia de inserir expressões como “praticados em ambientes digitais” ou “praticados na internet” nos artigos da legislação brasileira é uma atitude desnecessária. O que se deve fazer, na opinião do também professor de Direito Digital, é apenas punir efetivamente as condutas por meio de investigações, estrutura e aparelhamento judiciário e policial.
Além disso, Rafael Maciel contou que são raros os casos em que o Artigo 307 do Código Penal não alcança os crimes praticados na internet. Os crimes relacionados à invasão de dispositivos informáticos, por exemplo, não eram previstos na legislação e, por esta razão, foi criado um projeto de lei para punir esse tipo de conduta, a chamada Lei Carolina Dieckmann.
Tendo como base o mesmo pensamento e críticas dos autores anteriormente citados, o entrevistado Rafael Maciel ainda traz um outro ponto muito importante que é o fato de que o Código Penal não especifica lugares ou ambientes que o crime deva ser cometido, dessa maneira, amplia-se a ideia de local e forma de cometimento de crime, abrangendo, também, os perfis falsos contidos na internet e que tem o objetivo obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem, conforme já previsto pelo art. 307.
Há, também, um projeto de lei de autoria da deputada Maria do Rosário (PT-RS), que define crimes de ódio e intolerância. Em matéria publicada no site EcoDebate[21], o texto, publicado pela redação do site, traz algumas considerações acerca desse projeto que visa também coibir discurso de ódio, fabricação e distribuição de conteúdo discriminatório, inclusive pela internet:
O objetivo é punir a discriminação baseada em classe e origem social, orientação sexual, identidade de gênero, idade, religião, situação de rua, deficiência, condição de migrante, refugiado ou pessoas deslocadas de sua região por catástrofes e conflitos. Quem agredir, matar ou violar a integridade de uma pessoa baseado nesses tipos de preconceito será condenado por crime de ódio e terá a pena do crime principal aumentada em no mínimo 1/6 e no máximo 1/2.
Já o crime de intolerância terá pena de um a seis anos de prisão, além de multa, para quem exercer violência psicológica (bullying); negar emprego ou promoção sem justificativa legal; negar acesso a determinados locais ou serviços, como escola, transporte público, hotéis, restaurantes; negar o direito de expressão cultural ou de orientação de gênero; e negar direitos legais ou criar proibições que não são aplicadas para outras pessoas. A exceção a essa regra é o acesso a locais de cultos religiosos, que poderá ser limitado de acordo com a crença.
Para quem praticar, induzir ou incitar a discriminação por meio de discurso de ódio ou pela fabricação e distribuição de conteúdo discriminatório, inclusive pela internet, a pena também será de um a seis anos de prisão, além de multa, e poderá ser aumentada entre 1/6 e 1/2 se a ofensa incitar a prática de crime de ódio ou intolerância.
Levando em consideração inúmeros casos desse tipo que são vivenciados por pessoas todos os dias na internet, é uma proposta muito boa para coibir esse tipo de atitude. Segundo Maria do Rosário, “o caráter abrangente deste projeto de lei tem o objetivo de demonstrar que nenhuma situação de vulnerabilidade pode ser utilizada para justificar ou mascarar violações de direitos humanos”, seria, portanto, mais uma ferramenta que poderia ser utilizada para reprimir atitudes lesivas dos usuários na internet, bem como, na sociedade como um todo.
Existe, também, um Projeto de Lei do Senado que tramita há oito anos. O projeto, PLS 236/2012, foi apresentado pelo senador José Sarney e, em que pese as inúmeras críticas que recebeu, traz consigo um título que seria especificamente sobre crimes informáticos. O Título IV[22] do “Novo Código Penal” teria a seguinte redação:
PARTE ESPECIAL
TÍTULO VI
DOS CRIMES CIBERNÉTICOS
Conceitos
Art. 213. Para efeitos penais, considera-se:
- – “sistema informatizado”: computador ou qualquer dispositivo ou conjunto de dispositivos, interligados ou associados, em que um ou mais de um entre eles desenvolve o tratamento automatizado de dados informatizados através da execução de programas de computador, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informatizados armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos;
- – “dados informatizados”: qualquer representação de fatos, informações ou conceitos sob forma suscetível de processamento num sistema informatizado, incluindo programas de computador;
- – “provedor de serviços”: qualquer entidade, pública ou privada, que faculte aos utilizadores de seus serviços a capacidade de comunicação por meio de seu sistema informatizado, bem como qualquer outra entidade que trate ou armazene dados informatizados em nome desse serviço de comunicação ou de seus utentes;
- – “dados de tráfego”: dados informatizados relacionados com uma comunicação efetuada por meio de um sistema informatizado, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o trajeto, a hora, a data, o tamanho, a duração ou o tipo de serviço subjacente;
- – “artefato malicioso”: sistema informatizado, programa ou endereço localizador de acesso a sistema informatizado destinados a permitir acessos não autorizados, fraudes, sabotagens, exploração de vulnerabilidades ou a propagação de si próprio ou de outro artefato malicioso;
- – “credencial de acesso”: dados informatizados, informações ou características individuais que autorizam o acesso de uma pessoa a um sistema informatizado.
Acesso indevido
Art. 214. Acessar, indevidamente, por qualquer meio, direto ou indireto, sistema informatizado:
Pena – prisão, de um a dois anos.
Acesso indevido qualificado
§1º Se do acesso resultar:
- – prejuízo econômico;
- – obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais e industriais, arquivos, senhas, informações ou outros documentos ou dados privados;
- – controle remoto não autorizado do dispositivo acessado: Pena – prisão, de um a quatro anos.
§2º Se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos:
Pena – prisão, de dois a quatro anos.
Causa de aumento de pena
§3º Nas hipóteses dos §§ 1º e 2º, aumenta-se a pena de um a dois terços se houver a divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados, arquivos, senhas ou informações obtidas, se o fato não constituir crime mais grave.
Ação penal
§4º Somente se procede mediante representação, salvo na hipótese do § 2º deste artigo.
Sabotagem informática
Art. 215. Interferir sem autorização do titular ou sem permissão legal, de qualquer forma, na funcionalidade de sistema informatizado ou de comunicação de dados informatizados, causando-lhes entrave, impedimento, interrupção ou perturbação grave, ainda, que parcial:
Pena – prisão, de um a quatro anos.
§1º Na mesma pena incorre quem, sem autorização ou indevidamente, produz, mantém, vende, obtém, importa ou por qualquer outra forma distribui códigos de acesso, dados informáticos ou programas, destinados a produzir a ação descrita no caput.
§2º A pena é aumentada de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos: Pena – prisão, de dois a quatro anos.
Dano a dados informatizados
Art. 216. Destruir, danificar, deteriorar, inutilizar, apagar, modificar, suprimir ou, de qualquer outra forma, interferir, sem autorização do titular ou sem permissão legal, dados informatizados, ainda que parcialmente:
Pena – prisão de um a três anos.
Parágrafo único. Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.
Fraude informatizada
Art. 217. Obter, para si ou para outrem, em prejuízo alheio, vantagem ilícita, mediante a introdução, alteração ou supressão de dados informatizados, ou interferência indevida, por qualquer outra forma, no funcionamento de sistema informatizado:
Pena – de prisão, de um a cinco anos.
Parágrafo único. A pena aumenta-se de um terço se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime.
Obtenção indevida de credenciais de acesso
Art. 218. Adquirir, obter ou receber, indevidamente, por qualquer forma, credenciais de acesso a sistema informatizado:
Pena – prisão, de um a três anos.
Parágrafo único. Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.
Artefato malicioso
Art. 219. Constitui crime produzir, adquirir, obter, vender, manter, possuir ou por qualquer forma distribuir, sem autorização, artefatos maliciosos destinados à prática de crimes previstos neste Título, cuja pena será a prevista para o crime fim, sem prejuízo da aplicação das regras do concurso material. Excludente de ilicitude
Parágrafo único. Não são puníveis as condutas descritas no caput quando realizadas para fins de:
- – investigação por agentes públicos no exercício de suas funções;
- - pesquisa acadêmica;
- – testes e verificações autorizadas de vulnerabilidades de sistemas; ou IV – desenvolvimento, manutenção e investigação visando o aperfeiçoamento de sistemas de segurança.
O Título IV teve seu texto comentado por um blog[23] e, segundo o autor, o blog “Garoa Hacker Clube” teve todas as sugestões feitas acolhidas no parecer do senador Pedro Taques:
É importante ressaltar que o Senador Pedro Taques submeteu o projeto para diversas entidades especializadas, e o capítulo sobre crimes cibernéticos foi avaliado também pelo Ministério Público Federal, que tem um grupo especializado em crimes cibernéticos, que é baseado em São Paulo. O Garoa Hacker Clube, através do Alberto Fabiano, ajudou o pessoal do MPF nesse trabalho de revisão, e as sugestões foram incorporadas ao projeto, incluindo as definições no início da lei e a questão de exclusão de licitude no artigo sobre artefatos maliciosos. O senador Pedro Taques, em seu relatório, ao avaliar o Título IV que trata dos crimes informáticos, assim se manifestou:
Embora o CP, em regra, não seja diploma que traga conceitos, no caso de crimes cibernéticos, em razão dos aspectos técnicos envolvidos e o pouco conhecimento popular, entendemos ser essencial o estabelecimento de conceitos básicos, de modo a orientar a posterior interpretação, assim como diligentemente fez a Comissão de Juristas. Um Código não é escrito apenas para os operadores do Direito, mas para a sociedade como um todo. O art. 208 do Projeto traz os mesmos conceitos da Convenção de Budapeste, de 2004. A nossa proposta traz conceitos semelhantes, de modo a facilitar eventuais pedidos de cooperação internacional, mas inclui outros termos e conceitos mais modernos, suprindo lacunas já percebidas e criticadas em países que aderiram à Convenção.
Quanto ao art. 209 trazido pelo Título dos “Crimes Cibernéticos”, o senador assim se posicionou:
No art. 209, pune-se o acesso indevido. Hoje, há artigo semelhante em vigor, introduzido pela Lei nº 12.737, de 2012 (art. 154-A do CP). A redação do Projeto é melhor, porque fala em “acesso” e não em “invasão”. Além disso, o art. 154-A exige dolo específico – finalidade de destruir, adulterar ou obter dados ou instalar vulnerabilidade para obter vantagem indevida. O art. 209 não exige essa finalidade. A redação do Projeto exige, contudo, que o sistema informático seja “protegido”. Tecnicamente, não faz diferença alguma se o sistema é ou não protegido. O desvalor reside no tipo de acesso, se devido ou indevido. A redação do art. 209 ainda traz o problema da “porta aberta” – o tipo exige que, do acesso, resulte exposição a risco de divulgação. Não sabemos como isso operaria na prática. Sugerimos retirar essa expressão, que pouco agrega.
Segue o senador em seu relatório, agora falando dos parágrafos que já são contemplados pela Lei 12737/12:
O § 2º foi deslocado de lugar. O § 3º reproduz o § 3º do artigo 154-A em vigor, o qual, oportuno acrescentar, esqueceu de punir também a pessoa que obtém dados privados que não sejam comunicações eletrônicas ou segredos industriais. Por isso, sugerimos a melhor organização do artigo. A sugestão também é de um maior intervalo entre as penas mínimas e máximas, permitindo a melhor adequação e individualização no caso concreto. Os §§ 1º e 2º do art. 153 do CP punem a divulgação de segredos contidos em sistemas de dados e qualificam a conduta se o banco de dados for de órgão público. As penas neles trazidas são bem maiores do que as do §§ 4º e 5º do art. 209, que punem aquele que acessa indevidamente e depois divulga as informações obtidas. A sugestão, aqui, é de readequação das penas, de modo que a conduta mais grave (acesso indevido, obtenção mais divulgação) seja punida de forma adequada. Por fim, o § 5º do Projeto (§ 2º na nossa proposta) é melhor do que o § 5º do art. 154-A do CP, que prevê causa de aumento se o crime é praticado contra determinadas pessoas. A proteção da Administração Pública parece ser mais adequada.
Por fim, o senador fala sobre a proposta ter a criação de tipos penais:
Propomos outros dois tipos penais. Primeiro, é necessária a punição da obtenção de credenciais, como senhas e impressões digitais, hoje utilizadas quase como documentos de identificação. Documentos servem para identificar pessoas no mundo real e credenciais no mundo virtual. Isso também é importante no caso mais comum de fraude bancária – atualmente, os e-mails trazem links que redirecionam para páginas falsas de bancos, onde são colhidas as informações a serem usadas posteriormente. Essa situação não é coberta por nenhum artigo (pois não há vírus, não há invasão). Daí a importância de se punir a obtenção, e, em outro artigo, o programador que faz o artefato. Entendemos ser mais adequada e didática a reunião de todas as condutas do programador em um único artigo, com referência secundária aos demais, para evitar repetições. Foi incluída a excludente para evitar a punição de pesquisadores e desenvolvedores que trabalham para a criação de novas tecnologias de segurança e também das empresas que investigam os artefatos para aperfeiçoamento dos sistemas de segurança. Por fim, suprimimos o art. 211 do Projeto, em razão da dificuldade de processamento por ação penal privada. Algumas condutas descritas no Título poderiam gerar milhares de ações individuais, em vários estados da Federação, em razão da difusão dos danos decorrentes da ação criminosa.
Alvo de inúmeras críticas, o PLS 236/2012, está há oito anos em análise pelo senado e, levando em consideração a complexidade da matéria, já que visa uma reforma completa no Código Penal, seja suprimindo algumas condutas, seja criando novos tipos penais, não é de se admirar que ainda esteja em análise e apresente pontos negativos. Todavia, a iniciativa de se modificar o Código Penal deve ser considerada, uma vez que é datado de 1940, inúmeras novas condutas, sobretudo na internet, surgiram e colocaram a prova a abrangência e o caráter protetivo de nosso Código. Variadas são as iniciativas legislativas acerca de condutas lesivas tanto na internet, quanto nos meios eletrônicos, mas vale lembrar o que disseram Marcelo Xavier de Freitas Crespo e Coriolano Aurélio de Almeida Camargo Santos, “(...), é preciso parar com as tentativas de invenção da roda e, mais do que nunca, é caso de ouvir especialistas que sejam reconhecidamente autoridades no assunto antes de cometer equívocos ao modificar a legislação. ”
Vê-se, portanto, a necessidade de uma legislação que acompanhe o avanço exacerbado da sociedade, todavia, deve haver todo um acompanhamento técnico da matéria a ser proposta em legislação, sob pena de se tornar carente e redundante, sem a mínima eficácia, criando lacunas legislativas onde se escondem os agentes criminosos e onde a justiça não pode atuar.