1.1Crimes de Informática Próprios e Impróprios
Em tempos hodiernos, com os avanços em áreas de comunicação e informática que causam transformações cada vez mais rápidas no mundo fático, torna-se inegável reconhecer que os avanços tecnológicos proporcionam o desenvolvimento comercial, político e pessoal em esfera global, possibilitando maior acesso às informações, ao conhecimento, a rapidez nas transações comerciais, governamentais e pessoais. Tais avanços hão de ser reconhecidos como adequados, bons para o desenvolvimento global, no entanto, simultaneamente com essas boas inovações, surgiram também indesejadas conseqüências como novas modalidades e condutas criminosas, os cibercrimes[1], além da prática de condutas que apesar de não serem ainda tipificadas como crimes, mostram-se extremamente lesivas. São todas praticadas com o auxílio da informática, preponderantemente com a utilização da internet.
É consabido que “crime” [2], na pacífica forma tripartida analítica de conceituação do delito, uma ação ou omissão típica, antijurídica e culpável[3].
Os crimes podem ser praticados com o auxilio de um computador conectado à internet, mas o equipamento de informática também pode ser objeto do delito, o que varia de acordo com a utilização que se atribua ao mesmo, sendo então tais crimes classificados em crimes próprios e impróprios.
São próprios os crimes que são praticados através do equipamento de informática e possuem por finalidade atingir as suas próprias funções, desconfigurar as programações, causar transtornos aos usuários como, por exemplo, proporcionar a lentidão do sistema, mudar arquivos de seu local habitual, embaraçar a utilização da máquina.
Eduardo Marcelo Castela define que em informática os crimes próprios (puros); seriam os relacionados diretamente com a informática. Especificam situações em que a ação está voltada para a máquina, aos comandos e às funções que ela armazena e exerce. [4]
Em relação a tais condutas, o sistema judicial brasileiro encontra dificuldades em punir os infratores, seja pela falta de tipificação penal específica para as condutas lesivas próprias de informática, seja na falta de instrumentos e legislação que subsidiem a colheita de provas. Nesse contexto, existe um atraso de, pelo menos, 10 (dez) anos, em relação à Europa, onde vige legislação sobre o tema de forma muito específica. [5]
A única previsão legal nesse sentido em nosso direito pátrio, é o tipo penal do art. 154-A do Código Penal, que assim disciplina:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
§ 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I - Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.”
Observe-se que tanto no crime do caput do art. 154-A do Código Penal, bem como no crime do seu § 3º, as condutas criminosas são tratadas como crimes de menor potencial ofensivo, permitindo, no crime do caput, a suspensão condicional do processo nos termos do art. 89 da Lei 9.099/95, e, em ambas as condutas (caput e § 3º), permitem a transação penal, nos termos dos artigos 61, 72 e 76 da Lei 9.099/95.
Verifica-se que o legislador não atentou para a gravidade e lesividade das condutas descritas no tipo penal, quando cominou as penas ínfimas acima expostas.
Já os crimes de informática impróprios, são as condutas praticadas por elementos que apenas utilizam o equipamento de informática como instrumento para a prática do crime. Esse tipo de crime já se encontra tipificado na legislação penal pátria e na maioria das vezes provoca resultados naturalísticos, no entanto, também pode ser praticado por outro meio que não seja através da informática. Exemplo disso são os crimes de furto, injúria, que já se encontram tipificados no diploma penal pátrio e além de haver a possibilidade de serem praticados com o auxilio da informática, podem ser praticados por outros meios.
Nesse diapasão, Castela esclarece que os crimes de informática impróprios são:
[...] (impuros), onde a máquina é tão-somente um meio, um instrumento para se alcançar o fim desejado. Nesta categoria, estão os delitos constantes no Código Penal e legislação especial [...] Notadamente, boa parte das ocorrências policiais está sendo tipificada como estelionato, mas nada impede a prática de furto, dano, ameaça, calúnia, injúria, difamação e até mesmo , de homicídio. Nesse último caso, pode-se imaginar aquela situação onde há um Hospital moderno ao extremo, cuja estrutura é totalmente informatizada. Chegando, mesmo, a ministrar medicamentos aos seus pacientes de UTI de forma automática, com poderosas máquinas que acompanham o tratamento e as reações. Se um hacker, bem preparado e com objetivos cruéis, obtiver o acesso e ingressar no sistema, poderá escolher a vítima, sem ao menos lhe dar qualquer chance de defesa e, para dificultar qualquer investigação, apaga o caminho percorrido. [6]
Temos assim que o crime de informática próprio tem como finalidade o próprio equipamento, o próprio sistema, seu funcionamento, não podendo ser praticado de outra forma que não seja através da máquina, do equipamento, ao passo que o crime de informática impróprio é aquele praticado através da máquina, utilizando esta apenas como meio para atingir a finalidade, ou seja, nesse caso o crime pode ser praticado por outras maneiras, em outras modalidades e meios que não seja através do equipamento de informática.
Em ambos os casos, torna-se difícil a colheita de provas, pois o mundo cibernético é dinâmico, possibilitando a rápida ação do agente.
Em casos como tais, o trabalho de instrução criminal está afetado por insuficiências de ordem técnica e científica. Auxilia para esta situação a falta de investimento, descredibilidade e legislação obsoleta quanto à produção da prova. [7]
1.2As mais comuns modalidades de fraudes por meio da internet
As condutas lesivas praticadas por meio da internet possuem diversas modalidades. Primeiramente veremos a modalidade de invasão de sistemas de informática, sejam eles de governo ou empresas, por indivíduos que se aproveitam de alguma falha no sistema para adentrar no mesmo, visualizar os dados, praticar alguma ação no sistema para que ele se torne lento, trave ou fique indisponível por alguns momentos, deixando os administradores dos sistemas perplexos e desesperados com o ocorrido, buscando localizar a causa do problema e solucioná-lo o mais rápido possível. Esse tipo de invasor não visa lucro, quer a glória de praticar um ato não alcançado anteriormente por ninguém[8].
A grande maioria dos invasores que praticam tais condutas, invadindo sistemas, redes de computadores e provocando falhas nos sistemas e na utilização dos mesmos, não visam à subtração do dinheiro alheio.
Esse tipo de invasor diverte-se com o estrago que faz, no entanto, tal conduta é lesiva ao administrador do sistema, aos seus usuários, às informações nele constantes.
Não há legislação específica que atente unicamente para a tipificação dos crimes cibernéticos e subsidie a produção de provas para a comprovação da existência de materialidade e indícios de autoria.
Como visto, há apenas o art. 154-A, inserido no Código Penal, que tipifica algumas das poucas condutas dos criminosos cibernéticos.
Outra conduta lesiva e não tipificada consiste na utilização da rede mundial de computadores para enviar aos usuários mensagens de texto não solicitadas, sendo estas enviadas simultaneamente a diversos destinatários, utilizando como meio de proliferação o correio eletrônico. São os chamados spams[9]. Esse tipo de conduta é a mais comum segundo pesquisa realizada pela ISS/IBM[10]. As condutas lesivas praticadas por meio de spam além de mais comuns são mais graves, pois, nesse ponto o criminoso pratica o ato visando o lucro, seja desviando somas em dinheiro da conta de clientes, de um ou de vários bancos, para a sua própria ou a de um comparsa, seja articulando fraudes em operadoras de cartão de crédito[11].
A modalidade de spam mais grave e comum é o spam denominado pishing[12] que consiste no envio de mensagens não solicitadas que simulam a comunicação com instituições conhecidas tais como bancos, empresas, órgãos governamentais e até mesmo com polícias, judiciário e ministério público. As mensagens são atrativas e induzem o destinatário a acessar páginas falsas que são criadas especialmente para surrupiar dados financeiros e pessoais do usuário, que inclusive, costumam ser vendidos na própria rede.
O pishing ocorre em maior quantidade dentre as mensagens não-solicitadas de correio eletrônico que trafegam na internet, ultrapassando a ocorrência de propagandas, anúncios, pornografia e/ou falsas solicitações de atualização de dados cadastrais, conforme dados da Symantec[13].
Dessa forma, é importante o usuário atentar para o conteúdo das mensagens não solicitadas que são recebidas, bem como acessar a página da instituição que supostamente enviou a mensagem para obter informações sobre o seu conteúdo.
Outra modalidade de pishing é a ação do criminoso que ao invés de invadir o computador de um único usuário ou de subtrair suas informações pessoais e bancárias ludibriando-o através de mensagens não solicitadas, passa a invadir algum provedor de acesso à internet e modifica dados e configurações do provedor de acesso, fazendo com que todos os assinantes do provedor ao digitarem em seu navegador de internet determinado endereço eletrônico sejam redirecionados automaticamente para uma falsa página onde os dados serão enviados ao criminoso.
Nesse tipo de fraude o usuário não concorre para ser vítima do engano, pois age normalmente digitando o endereço eletrônico da página que deseja, no entanto, o provedor do qual é assinante foi invadido por um criminoso e configurado para redirecionar todos os usuários que digitarem determinado endereço à uma página falsa, incumbindo a esta colher e enviar ao criminoso os dados pessoais e financeiros da vítima. No presente caso o problema é ainda maior, pois todos os usuários do provedor de acesso invadido são vítimas dos criminosos.
Em tais casos, quando há prejuízo patrimonial à vítima, pode-se vislumbrar, em tese, a ocorrência do crime de furto, podendo-se aplicar em tese o Código Penal.
1.3As peculiaridades da prova de materialidade e indícios de autoria nas infrações penais perpetradas por meio da internet.
Para qualquer providência judicial acerca de alguma conduta criminosa, é imprescindível que a investigação conclua pela prova da materialidade do delito somada a indícios suficientes que levem a crer que determinada pessoa tenha sido o autor da infração. Tais requisitos devem ficar externados no fim das investigações, a fim de subsidiar a ação do Ministério Público ou do ofendido na propositura da competente ação penal perante o judiciário.
No entanto, a investigação de crimes cometidos por meio da internet é extremamente complicada e mais espinhosa do que as investigações de crimes comuns que deixem resultados naturalísticos no mundo. Isso se dá pela particularidade da forma como tais crimes são cometidos, ou seja, por meio eletrônico, além de considerarmos que o modo de agir dos invasores é dinâmico e são modificados rotineiramente, tudo no intuito de não deixar pistas, vestígios de suas ações.
Inicialmente o investigador deve constatar a materialidade do delito, posteriormente deve buscar indícios suficientes da autoria do delito já materializado. Exemplo disso é a constatação de que a conta bancária do usuário foi acessada por meio da internet e dela foi realizada transferência de valores para outra conta corrente, ou até mesmo foi realizado algum pagamento utilizando-se de tal conta de modo que a vítima alega e comprova que não foi ela que realizou o acesso. Restou provada a materialidade do delito de furto, no entanto, começa o árduo trabalho investigativo no intuito de descobrir a autoria do crime, reunindo indícios suficientes.
Com o instantâneo mundo eletrônico, há a possibilidade de o usuário realizar alguma ação e logo após apagá-la, no sentido de ocultar o ocorrido, desaparecendo com os vestígios ou até mesmo modificando-os para induzir a erro os investigadores.
A investigação num ambiente virtual é muito dinâmica. Num clicar de mouse o acusado por apagar todas as provas e ‘evidencia materialidade’ de um crime[14].
Além da possibilidade de apagar ou modificar vestígios e provas, há a possibilidade ainda mais simples de o invasor estar praticando sua ação no Brasil e ensejando seu resultado do outro lado do mundo, pois está delinqüindo na rede mundial de computadores.
Há ainda aqueles que praticam a ação e deixam provas para que sejam reconhecidos como autores da infração, no entanto, manipulam os caminhos percorridos, vestígios para que jamais se possa chegar à sua localização. Segundo Eduardo Marcelo Castela:
O hacker que deseja o respeito e o reconhecimento da comunidade em que vive fará algo que deixe um sinal para que possa ser identificado como sendo ele o responsável pelo ato, mas evitará deixar vestígios que possam levar os investigadores a descobrir a sua localização[15]
Os locais mais propícios para a prática de crimes por meio da internet são as lan houses[16] e os cybercafés[17] pois o usuário se dirige a um desses locais, paga determinada quantia para utilizar um computador e após isso vai embora, sem que seja realizado nenhum tipo de identificação. Se o usuário praticou alguma conduta lesiva ou criminosa por meio da internet naquele período em que utilizava o computador público, a investigação se torna muito mais complicada no sentido de chegar até o autor do fato e colher indícios suficientes da sua autoria. Dependendo do caso, a investigação pode chegar até a localização do computador de onde foi praticada a conduta, no entanto isso não basta, é necessário que se encontre a pessoa que estava utilizando àquele computador na data e hora do fato. Como no local público não há a identificação e o cadastro dos usuários, torna-se impossível descobrir a autoria de tal delito.
É cediço que em alguns Estados da Federação e em alguns Municípios, há leis estaduais que determinam que os estabelecimentos que locam máquinas para acesso à internet devem criar e manter cadastro dos clientes/usuários, como é o caso do Estado de São Paulo (Lei 12.228/2006[18]) e Santa Catarina (Lei14.890/2009[19]) e do Município do Recife (Lei 17.572/2009[20]), o que minimiza o problema, mas, não o esgota, nem mesmo no âmbito regional.
Entendemos que a exigência na identificação e cadastro dos usuários de computadores públicos não resolve o problema da inexistência de autoria de tais crimes perante as investigações de crimes dessa natureza, pois podemos ter como um paralelo uma família que possui um único computador com acesso à internet em sua residência, de modo que a investigação pode até chegar ao endereço do computador da família, mas não vai ter condições de apontar qual o membro da família estava utilizando o computador na data, hora e local desvendados.
Há ainda a possibilidade do infrator infectar um computador da rede mundial com códigos maliciosos, de modo a praticar alguma conduta lesiva ou criminosa do seu próprio computador, no entanto, a identificação será sempre do computador infectado e nunca do computador utilizado pelo infrator, ou seja, a investigação poderá chegar ao computador infectado pelo invasor, mas não no utilizado por ele. O objetivo do invasor neste caso além da prática da conduta lesiva é dificultar a identificação da ação e dos supostos autores, sendo muito usado este método.
Como bem explanou Christopher Painter[21]: é preciso dispor como base de leis muito fortes em todos os países do mundo, porque esses criminosos podem estar em qualquer lugar, bem como as vítimas, e nós precisamos de uma legislação forte.
