Este texto foi publicado no Jus no endereço https://jus.com.br/artigos/37798
Para ver outras publicações como esta, acesse https://jus.com.br

O art.313-A do Código Penal é crime cibernético e requer perícia para condenação

O art.313-A do Código Penal é crime cibernético e requer perícia para condenação

Publicado em . Elaborado em .

A inserção de dados falsos prevista no art.313-A é um crime cibernético e como tal exige a perícia para que possa haver a devida identificação de autoria e consequente condenação, contudo, esta não tem sido a prática no país.

Os artigos 313-A e 313-B do Código Penal Brasileiro foram inseridos pela lei 9983 de 14.07.2000 que trata de crimes contra o sistema previdenciário. Como é comum o Brasil, onde muitas leis surgem após acontecimentos de grande repercussão, a edição desta lei foi realizada durante um escândalo no sistema previdenciário.

O Projeto de Lei 933/99 foi resultado da MSC 624/1999 (Poder Executivo) que criava o art.312-A e assim dispunha:

Inserção de dados falsos em sistema informatizado

Art. 312-A. Inserir o funcionário autorizado ou facilitar a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da previdência social com o fim de obter vantagem indevida para si ou para outrem ou para causar dano à previdência social: Pena - reclusão, de 2 (dois) a 12 (doze) anos, e multa." (NR)

Podemos verificar que o crime estava diretamente conectado com a previdência social e o seu sistema de dados e estava atrelado ao crime de peculato (art.312).

A modificação ou alteração não autorizada de sistema informatizado, por sua vez, seria prevista no art. 319-A e portanto relacionado ao crime de prevaricação e assim dispunha:

Art. 319-A. Modificar ou alterar o funcionário sistema ou programa de informática sem autorização ou solicitação da autoridade competente:

Pena - detenção, de 3 (três) meses a 2 (dois) anos, e multa. Parágrafo único. As penas são aumentadas de um terço até a metade se da modificação ou alteração resulta dano para a previdência social ou para segurado ou contribuinte."(NR)

O PL 933/99 recebeu 08 emendas e sua redação final, após os vetos presidenciais resultou na Lei 9983/2000 que passou a dispor os crimes da seguinte forma:

Inserção de dados falsos em sistema informatizado

Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano

Pena - reclusão, de 2 (dois) a 12 (doze) anos, e multa. (Incluído pela Lei nº 9.983, de 2000)

Como pode ser observado, o crime deixou de fazer referência ao sistema previdenciário e passou a ser aplicado a toda administração pública. Também deixou de estar atrelado ao de Peculato (art.312) para estar debaixo do crime de Peculato mediante erro de outrem (art.313).  O que seria o novo art.319-A, como visto acima, passou a ser o art.313-B, com a seguinte redação:

Modificação ou alteração não autorizada de sistema de informações (Incluído pela Lei nº 9.983, de 2000)

Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente: (Incluído pela Lei nº 9.983, de 2000)

Pena - detenção, de 3 (três) meses a 2 (dois) anos, e multa. (Incluído pela Lei nº 9.983, de 2000)

Parágrafo único. As penas são aumentadas de um terço até a metade se da modificação ou alteração resulta dano para a Administração Pública ou para o administrado.(Incluído pela Lei nº 9.983, de 2000)

    Uma análise comparativa dos dois artigos (Art.313-A e 313-B) já deixa clara a infelicidade do legislador na elaboração da lei. O art.313-B é muito mais grave que o anterior. Se um sistema de informações ou programa de informática é alterado, não há que se falar em culpa, mas tão somente em dolo. Pode por exemplo ser criado um programa que cause danos graves à administração ou que permita o desvio de grandes somas de dinheiro. No entanto, a pena máxima é de 02 anos, podendo ser aumentada de um terço até a metade se causa danos à administração pública.

     O art. 313-A é crime próprio e formal. Exige que seja praticado por funcionário público autorizado e basta que se dê a inserção ou modificação dos dados para que seja consumado. Por ser formal, a intenção do agente é presumida a partir de seu próprio ato.

     Muitos julgamentos tem sido realizados em diferentes comarcas e em instâncias superiores onde não é incomum, que a condenação seja baseada no  resultado para se chegar a autoria, o que é um raciocínio completamente equivocado quando se está diante de crimes de informática.

      Os crimes cibernéticos ou de informática podem ocorrer de três formas. Contra o computador ou sistema informatizado, como ocorre nos ataques de hackers e no caso do art. 313-B, como também pode ser praticado com o uso do computador, que seria o caso do art.313-A ou ainda tendo o sistema de computação como local para armazenamento de evidências de outros crimes. Este é um conceito internacionalmente aceito e aplicado em diversos países, o que inclui os Estados Unidos.

       Em se tratando do art.313-A, afirmar que pelo fato de ter sido alguém beneficiado por dinheiro ou qualquer benefício, o transforma no responsável pela inserção ou alteração de dados, é assertiva que somente pode ser realizada após perícia de computação forense. De forma correta ao analisar caso em que a ré havia sido imputada de ter cometido a inserção de dados em um sistema onde seria a única beneficiada, foi absolvida pelo Tribunal de Justiça do Rio Grande do Sul, uma vez que os indícios, sobretudo em crimes de informática são insuficientes para comprovar a autoria de um delito.

Ementa: APELAÇÃO CRIME. INSERÇÃO DE DADOS FALSOS EM SISTEMA DE INFORMAÇÕES. ART. 313-A, CP. ABSOLVIÇÃO. RECURSO DO MP. IMPROVIMENTO. Não comprovado que a acusada, funcionária municipal, alterou indevidamente vencimentos de servidores no sistema informatizado da Prefeitura Municipal, com o intuito de obter vantagem para si ou para outrem, impõe-se a manutenção da absolvição, com fundamento no art. 386, VII, do CPP. Apelo do MP improvido. (Apelação Crime Nº 70030094619, Quarta Câmara Criminal, Tribunal de Justiça do RS, Relator: José Eugênio Tedesco, Julgado em 29/10/2009)

         Nos crimes de informática e como já vimos, tanto o art.313-A como o art.313-B, devem ser assim enquadrados, é fundamental que seja periciado tanto o computador como o sistema. Sem esta análise, nada pode ser dito. Imaginemos uma situação onde determinados servidores de um órgão público tenham sido favorecidos com benefícios indevidos. Diversas situações podem ter causado tal irregularidade. Um erro de sistema, a digitação incorreta, a inserção acidental de informações indevidas, a inserção de dados falsos de forma dolosa propriamente dita, dentre outras possibilidades. O fato de terem sido beneficiados não significa de forma alguma que tenham sido os responsáveis pela inserção falsa ou mesmo que tenha havido o concurso de pessoas no cometimento do crime.

            O corpo de delito nos crimes de informática (qualquer crime em que o sistema de informatização tenha sido utilizado, incluindo o art. 313-A) é o sistema de computação ou o computador do servidor acusado de ter cometido o crime. É ali que serão encontradas as evidências do crime, se tiver ocorrido, bem como quem os cometeu. Se existe um crime, onde é possível encontrar com alto grau de certeza os culpados, com base no exame pericial, são os crimes que envolvem a computação, pois todos os passos são registrados, tanto na máquina como no sistema. No caso do art. 313-A, a premissa básica é de que tenha sido praticado por servidor autorizado. Apenas a perícia pode confirmar ou refutar tal afirmação.

            Assim dispõe o Código de Processo Penal:

"Art. 158. Quando a infração deixar vestígios, será indispensável o exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado".

  Se é indispensável o exame de corpo de delito quando a infração deixa vestígios, e todo crime cometido com uso ou através de sistemas de informática, deixam rastros e portanto, vestígios, nenhuma ação criminal pode seguir seu curso, se não realizada a perícia.

            O art. 167 do CPP prevê que:

"Art.167. Não sendo possível o exame de corpo de delito, por haverem desaparecidos os vestígios, a prova testemunhal poderá suprir-lhe a falta".

Em se tratando da investigação do crime previsto no art. 313-A, tal possibilidade só poderia ser encontrada, se o computador tiver desaparecido, destruído e o sistema de computação, danificado a ponto de não permitir a sua auditoria, algo extremamente improvável e quase impossível de ser obtido

De qualquer forma, nos termos do CPP, não tendo havido exame de corpo de delito e nem o testemunho de quem tenha presenciado o crime, fica caracterizada a nulidade do processo, nos termos do art. 564:

   Art. 564.  A nulidade ocorrerá nos seguintes casos:

III - por falta das fórmulas ou dos termos seguintes:

b) o exame do corpo de delito nos crimes que deixam vestígios, ressalvado o disposto no Art. 167;

    A exigência do exame de corpo de delito não contraria o princípio da liberdade de livre convencimento do juiz prevista no art. 182, mas é condição para que o juiz possa aceitar no todo, em parte ou descartá-lo como prova. O juiz pode decidir que o exame nada acrescentou, como também pode solicitar novos exames, mas não cabe ao juiz deixar de exigir ou dispensar o exame do corpo de delito, pois neste caso, haveria prejuízo a defesa do réu.  

     O primeiro passo na perícia forense de informática é verificar se de fato houve crime. Qualquer usuário ao acessar um sistema precisa ser identificado, autenticado e autorizado para que possa efetuar qualquer alteração. Todo sistema informatizado funciona desta forma no serviço público. O servidor deve se identificar inserindo seu número de ponto, nome ou e-mail, seguido de senha, que é a autenticação.

     O sistema de autenticação do usuário visa garantir que de fato, o usuário é quem ele afirma ser. Pode ocorrer através de diferentes fatores, como a biometria, uso de crachás, senhas ou pins, bem como o local onde o computador está sendo acessado. Quanto mais fatores são utilizados, maior o grau de confiabilidade. Assim, após a identificação do servidor, deve ser inserida a senha que pode ser acompanhada de outra forma de autenticação, como digital (biometria). Toda informação desde o ingresso da identificação e senha do servidor passam a ser registradas, o que inclui a hora, data e local de acesso (computador utilizado). Estas informações podem ser obtidas através de relatório do sistema enquanto o computador propriamente dito pode ser analisado para que sejam conhecidas as operações ali realizadas, bem como as informações que possam estar contidas em seus arquivos. Mesmo que o computador não esteja disponível, contudo, uma vez que o usuário tenha acessado o sistema (log in), todos seus passos estarão ali registrados.

     Uma vez que o servidor tenha sido autenticado, o sistema irá verificar se ele está autorizado ou não a realizar uma série de procedimentos, o que inclui a inserção ou alteração de dados. Quem define o perfil de autorização de cada servidor, é o gestor do órgão. Nem todo servidor, necessita ter acesso pleno ao sistema. E mesmo que alguns poucos tenham este privilégio, este não é automaticamente estendido a outros servidores, mesmo que desempenhem funções semelhantes. É o chamado princípio do "privilégio mínimo". Este é um conceito criado na década de 1970, pelo Departamento de Defesa dos Estados Unidos e que estabelece que todo servidor deve ter o mínimo de privilégios de acesso ao sistema, necessário para a realização de suas funções.

       Assim, para que a primeira parte do art.313-A seja de fato estabelecida, qual seja, "inserção de dados falsos, por funcionário autorizado", se faz necessário que sejam conhecidas e devidamente provado que o servidor:

1. Acessou o sistema e foi identificado;

2. Foi devidamente autenticado;

3. Estava previamente autorizado para realizar a inserção ou alteração dos dados.

       Tal comprovação, como já dito, apenas pode ser realizada através de perícia de informática. Qualquer outra afirmação, não possui respaldo técnico-científico. No entanto, tal informação é de extrema relevância e fundamental para que a denúncia seja aceita e que o processo possa ser devidamente instruído pelas seguintes razões:

  • Pode não ter havido crime, mas um erro de sistema;
  • A inserção ou alteração dos dados pode ter sido realizada por funcionário não autorizado e neste caso, o crime não seria o previsto no art. 313-A, mas o de falsidade ideológica, uma vez que os arquivos digitais são documentos públicos.

            Crime de falsidade ideológica:

Art.290- Omitir, em documento público ou particular, declaração que dele devia constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da que devia ser escrita, com o fim de prejudicar direito, criar obrigação ou alterar a verdade sobre fato juridicamente relevante.

Pena

Reclusão de um a cinco anos, e multa - quando o documento objeto da fraude é público

Reclusão de um a três anos, e multa - se o documento for particular.

  • O sistema pode ter sido intencionalmente modificado para que a ação criminosa pudesse ser realizada e neste caso, o crime seria o previsto no art.313-B (Modificação ou alteração não autorizada de sistema de informações)
  • O crime cometido pode ter sido o previsto na Lei 12.737/12 que dispõe sobre crimes de delitos informáticos e assim dispõe:

“Invasão de dispositivo informático  

Art. 154-A.  Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:  

Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.  

§ 1o  Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.  

§ 2o  Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.  

§ 3o  Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:  

Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.  

§ 4o  Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.  

§ 5o  Aumenta-se a pena de um terço à metade se o crime for praticado contra:  

I - Presidente da República, governadores e prefeitos;  

II - Presidente do Supremo Tribunal Federal;  

III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou  

IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.”  

“Ação penal  

Art. 154-B.  Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.”  

            O art. 154-B portanto deixa claro, que o crime pode ser cometido contra a administração pública.

             Assim, apenas se devidamente comprovado por perícia, a inserção ou alteração de dados por funcionário autorizado, a primeira parte do art.313-A pode ser sanada. Não há nem que se falar em concurso de pessoas, se o funcionário público autorizado não tiver acessado o sistema ou facilitado o acesso e a não realização de exame de corpo de delito, deve ser causa de nulidade da ação penal.

             


Autor

  • Luiz Henrique Horta Hargreaves

    Mestrado em Business and Organizational Security Management (USA), com estudos complementares em Segurança Cibernética. Coordenador acadêmico de programa de Pós-graduação em Crimes Cibernéticos. Graduado em Gestão da Segurança Pública. Certificação de Investigador de Inteligência Cibernética (em curso).

    Textos publicados pelo autor


Informações sobre o texto

Este texto foi publicado diretamente pelo autor. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi.