O art. 154-A do Código Penal.

Segundo o jornal O Globo, em sua edição de 13 de junho de 2019:

"A Polícia Federal e o Ministério Público Federal (MPF) têm indícios de que o ataque hacker que expôs mensagens privadas do então juiz Sergio Moro e de procuradores foi muito bem planejado e teve alcance mais amplo do que se sabe até agora. Entre os alvos, estiveram integrantes das forças-tarefas da Lava-Jato de ao menos dois estados (Rio e Paraná) e do Distrito Federal, delegados federais de São Paulo, juízes do Rio e de Curitiba.”

Os fatos envolvendo a ação de hacker em dispositivos informativos de juízes, procuradores da República, com atuação na operação lava jato devem ser enquadrados no artigo 154 – A do Código Penal.

 A Lei 12.737, de 30 de novembro de 2012, publicada no DOU de 3 de dezembro do mesmo ano, tipificou um novo crime denominado Invasão de Dispositivo Informático, previsto no art. 154-A, do Código Penal, que entrou em vigor após 120 dias de sua publicação oficial, ou seja, em 3 de abril de 2013.

Eis o tipo penal:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: (Incluído pela Lei nº 12.737, de 2012)  Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. (Incluído pela Lei nº 12.737, de 2012)

§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. (Incluído pela Lei nº 12.737, de 2012)

§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012)

§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Vigência Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)

§ 4º Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012)

§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra: (Incluído pela Lei nº 12.737, de 2012)

I - Presidente da República, governadores e prefeitos; (Incluído pela Lei nº 12.737, de 2012) II - Presidente do Supremo Tribunal Federal; (Incluído pela Lei nº 12.737, de 2012) III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou (Incluído pela Lei nº 12.737, de 2012)

IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal. (Incluído pela Lei nº 12.737, de 2012) Vigência Ação penal (Incluído pela Lei nº 12.737, de 2012)

Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação  salvo se o crime e cometido contra a administracao pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municipios ou contra empresas concessionarias de servicos publicos. (Incluido pela Lei nº 12.737, de 2012)

É crime de ação múltipla que envolve os verbos invadir (entrar, tomar conhecimento ou acessar sem permissão) e instalar (baixar, copiar ou salvar sem permissão), tendo como objeto material os dados e informações armazenadas bem como o próprio dispositivo informático da vítima que sofre a invasão ou a instalação de vulnerabilidades. A doutrina entende que é  indiferente o fato de o dispositivo estar ou não conectado à rede interna ou externa de computadores (intranet ou internet). Trata-se de tipo misto alternativo, onde o agente responde por crime único se, no mesmo contexto fático, praticar uma ou as duas condutas típicas (invadir e instalar).

Trata-se de crime comum (aquele que pode ser praticado por qualquer pessoa), plurissubsistente (costuma se realizar por meio de vários atos), comissivo (decorre de uma atividade positiva do agente: “invadir”, “instalar”) e, excepcionalmente, comissivo por omissão (quando o resultado deveria ser impedido pelos garantes – art. 13, § 2º, do CP), de forma vinculada (somente pode ser cometido pelos meios de execução descritos no tipo penal) ou de forma livre (pode ser cometido por qualquer meio de execução), conforme o caso, formal (se consuma sem a produção do resultado naturalístico, embora ele possa ocorrer), instantâneo (a consumação não se prolonga no tempo), monossubjetivo (pode ser praticado por um único agente), simples (atinge um único bem jurídico, a inviolabilidade da intimidade e da vida privada da vítima).

A invasão de dispositivo informático é crime comum, assim, o sujeito ativo pode ser qualquer pessoa, uma vez que o tipo penal não exige nenhuma qualidade especial do agente. Sujeito passivo é a pessoa que pode sofrer dano material ou moral em consequência da indevida obtenção, adulteração ou destruição de dados e informações em razão da invasão de dispositivo informático, ou decorrente da instalação no mesmo de vulnerabilidades para obter vantagem ilícita, seja seu titular ou até mesmo um terceiro.

Invadir é violação indevida do mecanismo de segurança. A instalação pode ser feita para o delito por qualquer meio de execução existente. A invasão se dá em dispositivo alheio e sem autorização de seu possuidor.

O elemento subjetivo é o dolo específico, na vontade consciente de invadir dispositivo alheio.

Consuma-se, portanto, o delito no momento em que o agente invade o dispositivo informático da vítima, mediante violação indevida de mecanismo de segurança, ou instala no mesmo vulnerabilidades, tornando-o facilmente sujeito a violações. 

Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

Há possibilidade de tentativa.

Tem-se causas de aumento de pena:

§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012)

§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)

§ 4º Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012)

Prejuízo econômico, tal como exposto no parágrafo segundo do artigo 154 - A do CP, é conceito indeterminado, onde avulta perda de valores em dinheiro. 

No caso específico citado poderão ser aplicados o parágrafo terceiro(qualificadora) e quarto(causa de aumento de pena):

"Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012)  Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)".

"Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012)".

A lei de acesso à informação - Lei 12.527/2011 - prevê o direito de acesso a informações sigilosas e pessoais, desde que sejam observados e respeitados alguns critérios, em razão da classificação de cada informação a ser prestada.

Foi estabelecida classificação quanto a solicitação de informações sigilosas em relação ao grau de sigilo que deverá ser observado o interesse público da informação e utilizado o critério menos restritivo possível, considerados  a gravidade do risco ou dano à segurança da sociedade e do Estado bem como o  prazo máximo de restrição de acesso ou o evento que defina seu termo final.

Os prazos máximos quanto a classificação e restrição às informações em poder dos órgãos e entidades públicas e a respectiva competência são:

a) Para informações ultrassecretas: Prazo - 25 (vinte e cinco) anos – Competência -Presidente da República, Vice-Presidente da República, Ministros de Estado e autoridades com as mesmas prerrogativas, Comandantes da Marinha, do Exército, da Aeronáutica, e Chefes de Missões Diplomáticas e Consulares permanentes no exterior;

O crime, considerada a pena máxima de dois anos, é crime de menor potencial ofensivo e deve ser objeto de instrução nos Juizados Especiais Criminais.No caso do caput cabe o sursis processual na forma da Lei 9.099/95.

Há várias causas de aumento da pena que são traçadas no parágrafo quinto, nos incisos I a IV, conforme seja a autoridade envolvida.

É crime de ação penal pública condicionada à representação,salvo se o crime e cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municipios ou contra empresas concessionarias de servicos publicos. (Incluido pela Lei nº 12.737, de 2012). Os conceitos de administração direta e indireta(autarquias, fundações, empresas públicas, sociedades de economia mista) são próprias do direito administrativo.  

Para melhor compreensão desse delito penal, que surge em plena época da informática, necessário fixar os seguintes conceitos:

I – Sistema informático: qualquer dispositivo ou o conjunto de dispositivos, interligados ou associados, em que um ou mais de um entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele  ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção. Sendo  assim estarão inseridos no conjunto de dispositivos os computadores pessoais, notebooks, tablets, telefones móveis.

II – dados informáticos: qualquer representação de fatos, informações ou conceitos sob forma suscetível de processamento num sistema informático, incluindo programas aptos a fazerem um sistema informático a executar uma função. Esses dados podem ser números, letras ou símbolos(também chamados de caracteres), imagens registros, informações de usuários ou coisas, etc.

III – provedor de serviços: qualquer entidade, pública ou privada, que faculte aos utilizadores de seus serviços a capacidade de comunicações por meio de seu sistema informático, bem como qualquer outra entidade que trate ou armazene dados informáticos em nome desse serviço de comunicação ou de seus utentes. Aqui se fala sobre os provedores de serviços de internet, que são empresas que fornecem o acesso à internet – bem como àqueles sites que prestam serviços de gerenciamento(armazenamento, envio e recebimento) de correio eletrônico( e-mails), sítios ou sites, que chamamos de hospedagem de páginas.

IV – dados de tráfego; dados informáticos relacionados com uma comunicação efetuada por meio de um sistema informático, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o tráfego, a hora, a data, o tamanho, a duração ou o tipo de serviço subjacente.

O anteprojeto do Código Penal já fixava:

Art. 209: Acesso indevido, que vem a ser acessar indevidamente ou sem autorização, por qualquer meio, sistema informático protegido, expondo os dados informáticos a risco de divulgação ou de utilização indevida. O crime, que é de perigo, sujeita o sujeito ativo a penas de seis meses a um ano ou multa, permitindo a utilização do benefício da transação penal, conceituado como crime de menor potencial ofensivo. Por sua vez, na mesma pena incorre quem, sem autorização ou indevidamente produz, mantém, vende, obtém, importa, ou por qualquer outra forma distribui códigos de acesso, dados informáticos ou programas, destinados a produzir a ação descrita no caput do artigo(§ 1º). Se houver prejuízo econômico, aplica-se uma causa de aumento de pena de um sexto a dois terços, se do acesso resulta prejuízo.

O parágrafo terceiro apresenta qualificadora do tipo, com pena de um a dois anos, ainda um crime de menor potencial ofensivo, sujeito a transação penal e ainda, se houver denúncia, a benefício de suspensão condicional do processo, se do acesso resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais e industriais, informações sigilosas definidas em lei(aqui a lei penal é em branco, sujeita a regulamentação por uma norma jurídica) ou o controle remoto não utilizado no dispositivo acessado, com pena de prisão, de um a dois anos, também sujeita a oferta de benefício de transação penal. Ainda na hipótese do acesso indevido qualificado, há aumento da pena, de um a dois terços, se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos, se o fato não constituir crime mais grave. Finalmente, se o crime é cometido contra a Administração Pública Direta ou Indireta, em qualquer dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos, há incidência de qualificadora(§ quinto), com previsão de prisão de dois a quatro anos.

Por fim, acrescente-se a esse texto que com fundamento em precedentes do Superior Tribunal de Justiça (STJ) no sentido da responsabilidade de provedores de acesso à internet manterem dados cadastrais de seus usuários mesmo antes do Marco Civil da Internet, de 2014, a Terceira Turma rejeitou o recurso de provedor condenado a fornecer informações sobre um usuário que, em 2009, invadiu o e-mail de uma pessoa e disparou mensagens ofensivas aos destinatários.O julgamento se deu no REsp 1.785.092. 

O provedor alegou que passou a armazenar os dados 23 dias após os fatos narrados na ação, mas o colegiado entendeu que a obrigatoriedade de registro e armazenamento dessas informações já estava disciplinado no Código Civil de 2002. 

Nos autos da ação de obrigação de fazer, a autora disse que o invasor redigiu mensagens com ameaças e ofensas e as enviou para outras pessoas a partir de seu e-mail.

A ministra Nancy Andrighi, relatora, apontou que o STJ tem o entendimento de que as prestadoras de serviços de internet estão sujeitas ao dever legal de registro de suas atividades durante o prazo prescricional de eventual ação de reparação civil, conforme previsto pelo artigo 1.194 do Código Civil de 2002. Segundo ela, os dados armazenados pelos provedores devem ser suficientes para a identificação do usuário.

“Dessa forma, com base nesses fundamentos, pode-se concluir que o provedor de acesso já possuía o dever de armazenar os dados cadastrais e os respectivos logs de seus usuários, para que estes pudessem ser identificados posteriormente, mesmo antes da publicação da Lei 12.965/2014, que instituiu o Marco Civil da Internet”, afirmou a ministra.

Em relação ao argumento de que o IP dinâmico impediria a identificação do usuário, Nancy Andrighi também citou precedentes da Terceira Turma no sentido de que o número do IP foi projetado para ser único, de modo que, em cada acesso, ela corresponda a um único dispositivo conectado à rede.

“Assim, mesmo com a utilização do IP dinâmico, ao se determinar o local e a hora de acesso, é possível a identificação do usuário”, concluiu a ministra.