5. CRIMES INFORMÁTICOS PUROS E O PRINCÍPIO DA LEGALIDADE
Diante do que já foi apresentado, deve-se fazer uma reflexão quanto as normas penais existentes em relação aos crimes informáticos puros.
O direito é uma ciência de natureza social e sofre mudanças a medida em que a sociedade evolui. E o Estado é o único ente capaz de aplicar normas de direito no intuito de coibir práticas tida como proibidas ou ilícitas.
Nesse sentido, Cecílio da Fonseca Vieira Ramalho Terceiro:
O Direito é uma ciência de natureza social, portanto, é lógico concluir que sofre inúmeras mudanças de acordo com o avanço da sociedade a que esteja ligado. O ser humano é um ser eminentemente social, devido a esta necessidade organizacional do homem em sociedade, é que surge a figura do Estado. Após a organização do Estado como único ente capaz de substituir a vingança particular, ultrapassando a fase da autotutela primitiva humana, depende o homem do direito para não só respaldar suas transações privadas, mas como confia e outorga-lhe o direito da devida sanção aos indivíduos que transgridam a ordem legal estabelecida.[45]
Os crimes informáticos são frutos de uma evolução social e tecnológica, portanto exige-se por consequência uma mudança também no direito em relação a esse tema.
No entanto, o direito não consegue acompanhar as constantes evoluções da era digital, pois este avança numa velocidade maior que todas as revoluções já vividas pelo homem.
Cecílio da Fonseca Vieira Ramalho Terceiro completa:
Seria pretensão nossa afirmar que o direito avança em conjunto com a sociedade em harmonia, o que de fato não o é, pois este estará sempre a um passo atrás da mesma, estando sempre em mora nesta relação. Isto se deve não só ao modelo legislativo arcaico que possuímos, onde leis e demais normas legais sofrem com um árduo e demorado processo legislativo, que por muitas vezes promulga normas que já afloram ultrapassadas, necessitando de várias arestas na sua forma para uma aplicabilidade eficaz.[46]
O processo legislativo é burocrático e moroso. Muitas vezes vem a promulgar leis novas que já são ultrapassadas, ou seja, ela já nasce precisando de reparações.
Fabrízio Rosa[47] disse que “é preciso proteger a sociedade e o cidadão contra tais comportamentos, de modo que a tipificação desses delitos específicos, os chamados Crimes de Informática, acaba sendo uma das medidas consideradas urgentes e que não pode esperar mais”.
O problema é que a sociedade evolui, a sociedade digital evolui de forma mais célere, mas o direito não vem acompanhando esta evolução numa velocidade necessária e estas condutas informáticas puras foram esquecidas pela legislação penal vigente. Assim muitas destas condutas não podem ser equiparadas de forma análoga à outras condutas existentes por ferir o princípio da reserva legal.
Nesse sentido, diz Celso Delmanto:
As leis que definem crimes devem ser precisas, marcando exatamente a conduta que objetivam punir. Assim, em nome do princípio da legalidade, não podem ser aceitas leis vagas ou imprecisas, que não deixam perfeitamente delimitado o comportamento que pretendem incriminar - os chamados tipos penais abertos. Por outro lado, ao juiz que vai aplicar leis penais é proibido o emprego da analogia ou da interpretação com efeitos extensivos para incriminar algum fato ou tornar mais severa sua punição. As eventuais falhas da lei incriminadora não podem ser preenchidas pelo juiz, pois é vedado a este completar o trabalho do legislador para punir alguém.[48]
Em outras palavras, completa Fernando de Almeida Pedroso:
Não basta, consequentemente, que o fato concreto, na sua aparência, denote estar definido na lei penal como crime. Há mister corresponda à definição legal. Nessa conjectura, imprescindível é que sejam postas em confronto e cotejo as características abstratas enunciativas do crime com as características ocorrentes no plano concreto, comparando-se uma a uma. Se o episódio a todas contiver, reproduzindo uma exatidão e fidelidade a sua imagem abstrata, Alcançará a adequação típica. Isso porque ocorrerá a subsunção do fato ao tipo, ou seja, o seu encarte ou enquadramento à definição legal. Por via de consequência, realizada estará a tipicidade, primeiro elemento da composição jurídica do crime.[49]
Em relação ao crime informático, precisa-se necessariamente de uma tipificação expressa como lei.
Nas palavras de Rita de Cássia Lopes Silva:
O aparecimento da Informática no meio social ocorreu de forma tão rápida e passou a exigir, com a mesma rapidez, soluções que o Direito não estava preparado para resolver. Com isso, a necessidade social aparenta estar desprovida da tutela do Direito e a busca ansiosa por regular a matéria pode provocar a criação de leis excessivas e desnecessárias.[50]
Para Alexandre Jean Daoun e Gisele Truzzi:
[...] hipóteses que envolvem tecnologia, dado, informação e sistema equivalente, como finalidade almejada pelo agente criminoso no desempenho da conduta criminosa não estão expressamente tuteladas na legislação penal brasileira que, como já mencionado, não admite aplicação da analogia maléfica, ou in malam partem. Para estas hipóteses, atentando-se para o princípio constitucional da reserva legal, há necessidade de regulamentação própria e específica por meio de elaboração de tipos penais que contenham tal previsão.[51]
Essa tipicidade visa classificar as condutas humanas em normas penais proibitivas que incrimina todos os fatos que possam estar desviados de uma conduta aceita socialmente. Carla Rodrigues Araújo de Castro[52] afirma que “devido à especialidade destas figuras, as quais atingem bens jurídicos novos, como: dados, informações, sites, home pages, e-mails etc; bem como a ausência de lei, muitos fatos não podem ser repreendidos pelo Estado”.
Como resultado, surgem problemas consequentes no tocante à impunidade e à insegurança jurídica causada pela falta de lei específica para os crimes informáticos.
Nesse toar, Victor Henrique Gouveia Gatto:
A inexistência de fato típico caracterizador dos crimes informáticos, abre lacunas em nosso ordenamento jurídico, por onde esses marginais atuam sem o menor pudor e respeito às regras de moralidade e boa conduta, a tipificação desses crimes traria não só a punição para esses criminosos, mas traria consigo a sensação de segurança necessária para que as pessoas possam usufruir desse meio de comunicação com liberdade e segurança.[53]
Ante essa atipicidade no sistema penal brasileiro quanto aos crimes de informática puros, tramitam no Congresso Nacional vários projetos de lei com o objetivo de proporcionar a devida e necessária segurança jurídica.
Inclusive foi promulgado recentemente a nova Lei 12.737/2012 que dispõe a tipificação criminal de delitos informáticos. Parece que o governo brasileiro, enfim, começou a se atentar aos problemas causados pelos delitos informáticos.
6. PANORAMA SOBRE A LEI 12.737/2012 – “LEI CAROLINA DIECKMANN”
Recentemente entrou em vigor a nova Lei 12.737/2012 que “dispõe a tipificação criminal de delitos informáticos”. Esta lei alterou o Código Penal acrescentando e modificando alguns artigos para tentar coibir a prática delituosa em relação aos crimes informáticos, que até então, não existia de forma expressa no ordenamento jurídico brasileiro.
Partindo do pressuposto que não existia nada dessa natureza em nosso ordenamento jurídico, a lei é um avanço, mostrando que os legisladores, apesar de tardia, estão se preocupando com esse assunto – o crime digital.
No entanto, a movimentação legislativa foi acelerada em virtude de uma atriz de uma grande emissora brasileira ter sido vítima desse tipo de crime, e em razão da exposição que teve na mídia, os legisladores correram para editar uma lei e mostrar para sociedade que esses tipos de crimes não ficarão impunes.
Segundo Eduardo Luiz Santos Cabette:
É interessante notar que a legislação sob comento acabou ganhando o epíteto de “Lei Carolina Dieckmann”, atriz da Rede Globo de televisão que foi vítima de invasão indevida de imagens contidas em sistema informático de natureza privada e cujo episódio acabou acelerando o andamento de projetos que já tramitavam com o fito de regulamentar essas práticas invasivas perpetradas em meios informáticos para modernização do Código Penal Brasileiro. Antes disso, era necessário tentar tipificar as condutas nos crimes já existentes, nem sempre de forma perfeita. A questão, sob esse ponto de vista, é agora solucionada pela Lei 12.737/12.[54]
O problema que essa pressa resultou numa lei fraca, que na prática, dificilmente alguém será punido por ela. “As penas são baixas (em regra, até dois anos), logo, a chance de prescrição é muito grande. Por todos esses motivos, não confio na eficácia preventiva dessa lei.”[55]
Quanto às mudanças no Código Penal, o artigo 2o, da Lei 12.737/2012 dispõe:
“Invasão de dispositivo informático
Art. 154-A - Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1o - Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.”
O caput desse artigo tem três pontos a se considerar: primeiro em relação ao termo “invadir”. Este termo pressupõe que existe uma barreira, uma proteção a ser quebrada, invadida.
Nas palavras de Marcelo Xavier de Freitas Crespo:
Quanto à redação do art. 154-A, o núcleo “invadir” significa penetrar em um determinado lugar e ocupá-lo pela força, abusivamente; conquistar. Tem-se, portanto, a ideia de que o acesso ao dispositivo informático deve necessariamente ocorrer mediante a transposição de uma barreira, de um mecanismo de segurança (como um firewall ou senhas de acesso) sem os quais não haveria falar em “invasão”, mas de acesso.[56]
Portanto, neste caso, se não houver uma barreira a ser quebrada, ou seja, se o sistema estiver sem proteção, pode-se falar em atipicidade ou crime impossível.
Conforme Eduardo Luiz Santos Cabette:
É ainda importante ressaltar que não é qualquer dispositivo informático invadido que conta com a proteção legal. Para que haja o crime é necessário que o dispositivo conte com “mecanismo de segurança” (v.g. antivírus, “firewall”, senhas etc.). Assim sendo, o dispositivo informático despido de mecanismo de segurança não pode ser objeto material das condutas incriminadas, já que o crime exige que haja “violação indevida de mecanismo de segurança”. Dessa maneira, a invasão ou instalação de vulnerabilidades em sistemas desprotegidos é fato atípico. Releva observar que na requisição da perícia nesses casos é importante que a autoridade policial formule quesito a fim de que o perito indique a presença de “mecanismo de segurança” no dispositivo informático violado, bem como que esse mecanismo foi violado, indicando, inclusive, se possível, a forma dessa violação, para melhor aferição e descrição do “modus operandi” do agente.[57]
A segunda consideração é em relação ao objetivo da conduta. O artigo fala sobre “obter, adulterar ou destruir dados”. Caso a conduta do agente seja apenas invadir e após isso ele não fizer nada, o crime também será atípico.
Segundo Marcelo Xavier de Freitas Crespo:
Este tipo penal exige, ainda, o especial fim de agir: apenas se poderá cogitar do crime em comento se tiver o agente, ao invadir o dispositivo informático, a finalidade de obter, adulterar ou destruir dados ou informações ali armazenadas, instalar vulnerabilidades ou obter vantagem ilícita. Note-se que o crime é formal, sendo despiciendo o resultado para que reste consumado. Além disso, é fundamental apontar que a invasão por si só, ainda que com violação de mecanismos de segurança, não recebeu reprimenda do legislador.[58]
Em outras palavras, Willian César Pinto de Oliveira:
Cabe destacar que a lei exige, como elemento subjetivo do tipo, a especial finalidade de obter, adulterar ou destruir dados ou informações. Assim sendo, se o agente invadir um computador apenas para ver as fotografias nele contidas, não incidirá no delito. [...] a lei exige "violação indevida de mecanismo de segurança", de sorte que, se o computador estiver ligado e não for exigida nenhuma senha, não haverá crime. Aliás, nesse tocante, pode-se entender que sequer houve invasão, já que se trata de um termo técnico que mereceria explicação.[59]
A terceira e última consideração é em relação ao termo no final do artigo: “para obter vantagem ilícita”. Se o agente não tem a intenção de obter uma vantagem ilícita, econômica ou não, ele não se enquadrará nessa conduta criminosa.
Conforme Marcelo Xavier de Freitas Crespo:
Saliente-se, ademais, que a vantagem pretendida pelo agente, isto é, qualquer benefício, ganho ou lucro, deve ser ilícita, indevida, seja ela econômica ou não. Do contrário, caso não almeje o agente obter uma vantagem, mas tão somente deixar o dispositivo da vítima desprotegido, não se caracterizará este delito.[60]
Em relação à pena, neste primeiro momento é detenção de 3 (três) meses a 1 (um) ano e multa. Trata-se de infração de menor potencial ofensivo (artigo 61 da Lei 9.099/95).
De acordo com Eduardo Luiz Santos Cabette:
A pena prevista para o crime simples (artigo 154 – A, “caput”, CP) e para a figura equiparada (artigo 154 – A, § 1º., CP) é de detenção de 3 meses a 1 ano e multa. Dessa forma trata-se de infração de menor potencial ofensivo, afeta ao procedimento da Lei 9.099/95. Mesmo na forma majorada do § 2º., a pena máxima não ultrapassaria 1 ano e 4 messes (aumento máximo de um terço), de modo que seguiria como infração de menor potencial.[61]
Essa lei é de competência dos Juizados Especiais Criminais, e na prática, os delitos desta natureza resultam em penas restritivas de direitos, multas e em alguns casos até a suspenção condicional do processo, nos termos do artigo 89 desta lei, o que não inibiria o meliante de cometer este tipo de crime. A exceção dá-se em casos de provas complexas que necessitam de perícia. Neste caso a competência seria a Justiça Criminal Comum. O problema neste caso é em relação à morosidade do sistema judiciário, o que resultaria em eventuais prescrições em virtude da pena ser pequena.
Nesse sentido, Marcelo Xavier de Freitas Crespo:
[...] a competência para seu processamento e julgamento será dos Juizados Especiais Criminais, excetuados os casos em que a complexidade ou circunstância dos fatos imponham sua remessa ao juízo comum. [...] o trâmite dos autos perante a Justiça Comum, por ser em tese mais lento e conjugado às possíveis demoras em se concluírem as perícias, propiciará mais facilmente a ocorrência da prescrição em razão de as penas serem diminutas.[62]
O parágrafo 1o equipara à mesma pena o agente que fornece à terceiros programas que facilitem a prática do caput do artigo. O interessante desde artigo é o verbo difundir, que serve para incriminar o agente que instala malwares[63] em computadores alheios com o intuito de obter dados como usuários de senhas de acesso.
Complementa Marcelo Xavier de Freitas Crespo:
Ainda quanto ao art. 154, seu §1.º incrimina conduta “assemelhada”, visando punir a conduta daqueles que fabricam, oferecem, distribuem ou vendem a terceiros, ou simplesmente difundem aleatoriamente dispositivos ou programas de computador que possam ser utilizados por terceiros para invadirem dispositivos informáticos ou neles instalar vulnerabilidades. Pretendeu aqui o legislador punir a conduta de quem instala malwares em dispositivos informáticos para, sub-repticiamente, obter informações e dados que lhes possam trazer uma vantagem ilícita. É o caso dos famigerados trojans e keylloggers, quase sempre instalados para obter senhas de banco dos usuários.[64]
Os outros parágrafos deste artigo tratam-se de causas de aumento de pena. No entanto a pena máxima continua sendo pequena, o que gera os mesmo problemas explicados anteriormente.
Outro artigo dessa nova lei que merece crítica é a alteração do artigo 266 do Código Penal:
“Art. 266 - Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública.
§ 1o - Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.”
Este crime é conhecido como DDoS (Distributed Denial of Service), ou seja, ataque distribuído de negação de serviço. Este ataque se dá quando vários computadores previamente infectados, acessam um site ou serviço num mesmo dia e mesmo horário, fazendo com o esse servidor não suporte o numero de acessos, saindo assim, com o serviço do ar. Recentemente houve muito desses ataques aos sites do governo federal, bem como diversos bancos privados.
A ideia do legislador tipificar esta conduta como crime foi acertada, porém ocorreu com um grande equivoco. O parágrafo 1o do artigo 266 , incluído por esta nova lei, expressa que incorre na mesma pena quem interrompe serviço de utilidade pública, portanto os ataques às instituições privadas continuam não sendo crime.
Complementando o raciocínio, Marcelo Xavier de Freitas Crespo:
Ao acrescentar o § 1.º se pretendeu também resguardar o serviço telemático ou de informação de utilidade pública, tipificando a conduta de quem o interrompe por meio do Denial of Service, impede ou dificulta-lhe o restabelecimento. Faz-se necessário, portanto, que o serviço afetado seja público, ainda quando exercido por empresa concessionária (autorizatária ou permissionária). Logo, atividades privadas de comércio eletrônico que não sejam de utilidade pública não estão protegidas pela lei, pelo que, com a tipificação advinda pela inserção do § 1.º não se resolve o problema dos ataques de denegação de serviço contra particulares.[65]
Em outras palavras, Joao Felipe Brandão Jatobá:
Esta última alteração, aparentemente adicionada à lei com o intuito de refrear a ação de hackers contra sites da Internet, não terá os efeitos desejados pelo legislador. Isto por que a alteração do artigo 266 especificamente tipifica a interrupção do serviço telemático e serviço de informação de utilidade. Isto significa que, o referido tipo penal protegerá o serviço telemático em si e os serviços de informação de utilidade pública, e não os sites considerados individualmente.[66]
Estas considerações foram para demonstrar, apenas, que os legisladores deram o primeiro passo para tentar resolver o problema pertinentes aos crimes informáticos. No entanto, como exposto, fazer uma lei às pressas, sem tecnicidade, apenas para satisfazer uma necessidade momentânea devido à exposição da mídia em virtude de uma atriz ser vítima de um ataque desta natureza não resolverá o problema da sociedade.