A invasão de dispositivos eletrônicos

I – O FATO

De gravíssima importância o recente ataque de hackers ao STJ.

Ele é relevante não apenas porque uma quantidade expressiva de dados foi indevidamente acessada e criptografada - com o atacante aparentemente pedindo um resgate para a sua devolução, prática conhecida como ransomware -, mas também porque o ataque simplesmente paralisou as atividades do tribunal, alterando prazos de processos e cancelando audiências.

Segundo a BBC, até o dia 5 de novembro do corrente ano a corte já havia empenhado R$ 13,72 milhões com a empresa, como parte de dois contratos diferentes de prestação de serviços. Os contratos foram firmados em 2017 e 2018, e prorrogados desde então.

Esses delitos dos tempos modernos afrontam à democracia.

Ainda segundo o Estadão, em 15 de novembro de 2020, em pleno dia das eleições municipais, o presidente do Tribunal Superior Eleitoral (TSE), Luís Roberto Barroso, relatou que houve uma tentativa de ataque ao sistema que abriga as informações da Justiça Eleitoral, mas que foi totalmente neutralizado. "Houve de fato tentativa de ataque com quantidade de acessos maciços para tentar derrubar sistema como um todo", afirmou o ministro. Segundo ele, mais informações sobre o ocorrido estão sendo apuradas e serão divulgadas numa próxima oportunidade. "A informação que tenho é que foi tentativa de derrubar o sistema. Mas está tudo funcionando bem", disse.

II – A LEI 13.737/2012

Os fatos envolvendo a ação de hacker em dispositivos informativos do STJ devem ser enquadrados no artigo 154 – A do Código Penal.

A Lei 12.737, de 30 de novembro de 2012, publicada no DOU de 3 de dezembro do mesmo ano, tipificou um novo crime denominado Invasão de Dispositivo Informático, previsto no art. 154-A, do Código Penal, que entrou em vigor após 120 dias de sua publicação oficial, ou seja, em 3 de abril de 2013.

Eis o tipo penal:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: (Incluído pela Lei nº 12.737, de 2012) Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa. (Incluído pela Lei nº 12.737, de 2012)

§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. (Incluído pela Lei nº 12.737, de 2012)

§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012)

§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Vigência Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)

§ 4º Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012)

§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra: (Incluído pela Lei nº 12.737, de 2012)

I – Presidente da República, governadores e prefeitos; (Incluído pela Lei nº 12.737, de 2012) II – Presidente do Supremo Tribunal Federal; (Incluído pela Lei nº 12.737, de 2012) III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou (Incluído pela Lei nº 12.737, de 2012)

IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal. (Incluído pela Lei nº 12.737, de 2012) Vigência Ação penal (Incluído pela Lei nº 12.737, de 2012)

Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação salvo se o crime e cometido contra a administracao pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municipios ou contra empresas concessionarias de servicos publicos. (Incluido pela Lei nº 12.737, de 2012)

É crime de ação múltipla que envolve os verbos invadir (entrar, tomar conhecimento ou acessar sem permissão) e instalar (baixar, copiar ou salvar sem permissão), tendo como objeto material os dados e informações armazenadas bem como o próprio dispositivo informático da vítima que sofre a invasão ou a instalação de vulnerabilidades. A doutrina entende que é indiferente o fato de o dispositivo estar ou não conectado à rede interna ou externa de computadores (intranet ou internet). Trata-se de tipo misto alternativo, onde o agente responde por crime único se, no mesmo contexto fático, praticar uma ou as duas condutas típicas (invadir e instalar).

Trata-se de crime comum (aquele que pode ser praticado por qualquer pessoa), plurissubsistente (costuma se realizar por meio de vários atos), comissivo (decorre de uma atividade positiva do agente: “invadir”, “instalar”) e, excepcionalmente, comissivo por omissão (quando o resultado deveria ser impedido pelos garantes – art. 13, § 2º, do CP), de forma vinculada (somente pode ser cometido pelos meios de execução descritos no tipo penal) ou de forma livre (pode ser cometido por qualquer meio de execução), conforme o caso, formal (se consuma sem a produção do resultado naturalístico, embora ele possa ocorrer), instantâneo (a consumação não se prolonga no tempo), monossubjetivo (pode ser praticado por um único agente), simples (atinge um único bem jurídico, a inviolabilidade da intimidade e da vida privada da vítima).

A invasão de dispositivo informático é crime comum, assim, o sujeito ativo pode ser qualquer pessoa, uma vez que o tipo penal não exige nenhuma qualidade especial do agente. Sujeito passivo é a pessoa que pode sofrer dano material ou moral em consequência da indevida obtenção, adulteração ou destruição de dados e informações em razão da invasão de dispositivo informático, ou decorrente da instalação no mesmo de vulnerabilidades para obter vantagem ilícita, seja seu titular ou até mesmo um terceiro.

Invadir é violação indevida do mecanismo de segurança. A instalação pode ser feita para o delito por qualquer meio de execução existente. A invasão se dá em dispositivo alheio e sem autorização de seu possuidor.

O elemento subjetivo é o dolo específico, na vontade consciente de invadir dispositivo alheio.

Consuma-se, portanto, o delito no momento em que o agente invade o dispositivo informático da vítima, mediante violação indevida de mecanismo de segurança, ou instala no mesmo vulnerabilidades, tornando-o facilmente sujeito a violações.

Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

Há possibilidade de tentativa.

Tem-se causas de aumento de pena:

§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012)

§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)

§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012)

Prejuízo econômico, tal como exposto no parágrafo segundo do artigo 154 – A do CP, é conceito indeterminado, onde avulta perda de valores em dinheiro.

No caso específico citado poderão ser aplicados o parágrafo terceiro (qualificadora) e quarto (causa de aumento de pena):

“Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)”.

“Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012)”.

A lei de acesso à informação – Lei 12.527/2011 – prevê o direito de acesso a informações sigilosas e pessoais, desde que sejam observados e respeitados alguns critérios, em razão da classificação de cada informação a ser prestada.

Foi estabelecida classificação quanto a solicitação de informações sigilosas em relação ao grau de sigilo que deverá ser observado o interesse público da informação e utilizado o critério menos restritivo possível, considerados a gravidade do risco ou dano à segurança da sociedade e do Estado bem como o prazo máximo de restrição de acesso ou o evento que defina seu termo final.

Os prazos máximos quanto a classificação e restrição às informações em poder dos órgãos e entidades públicas e a respectiva competência são:

a) Para informações ultrassecretas: Prazo – 25 (vinte e cinco) anos – Competência -Presidente da República, Vice-Presidente da República, Ministros de Estado e autoridades com as mesmas prerrogativas, Comandantes da Marinha, do Exército, da Aeronáutica, e Chefes de Missões Diplomáticas e Consulares permanentes no exterior;

O crime, considerada a pena máxima de dois anos, é crime de menor potencial ofensivo e deve ser objeto de instrução nos Juizados Especiais Criminais. No caso do caput cabe o sursis processual na forma da Lei 9.099/95.

Há várias causas de aumento da pena que são traçadas no parágrafo quinto, nos incisos I a IV, conforme seja a autoridade envolvida.

É crime de ação penal pública condicionada à representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionarias de serviços públicos. (Incluido pela Lei nº 12.737, de 2012). Os conceitos de administração direta e indireta(autarquias, fundações, empresas públicas, sociedades de economia mista) são próprias do direito administrativo.

Para melhor compreensão desse delito penal, que surge em plena época da informática, necessário fixar os seguintes conceitos:

I – Sistema informático: qualquer dispositivo ou o conjunto de dispositivos, interligados ou associados, em que um ou mais de um entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção. Sendo assim estarão inseridos no conjunto de dispositivos os computadores pessoais, notebooks, tablets, telefones móveis.

II – dados informáticos: qualquer representação de fatos, informações ou conceitos sob forma suscetível de processamento num sistema informático, incluindo programas aptos a fazerem um sistema informático a executar uma função. Esses dados podem ser números, letras ou símbolos(também chamados de caracteres), imagens registros, informações de usuários ou coisas, etc.

III – provedor de serviços: qualquer entidade, pública ou privada, que faculte aos utilizadores de seus serviços a capacidade de comunicações por meio de seu sistema informático, bem como qualquer outra entidade que trate ou armazene dados informáticos em nome desse serviço de comunicação ou de seus utentes. Aqui se fala sobre os provedores de serviços de internet, que são empresas que fornecem o acesso à internet – bem como àqueles sites que prestam serviços de gerenciamento(armazenamento, envio e recebimento) de correio eletrônico( e-mails), sítios ou sites, que chamamos de hospedagem de páginas.

IV – dados de tráfego; dados informáticos relacionados com uma comunicação efetuada por meio de um sistema informático, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o tráfego, a hora, a data, o tamanho, a duração ou o tipo de serviço subjacente.

III – O ARTIGO 209 DO ANTEPROJETO DO CÓDIGO PENAL

O anteprojeto do Código Penal já fixava:

Art. 209: Acesso indevido, que vem a ser acessar indevidamente ou sem autorização, por qualquer meio, sistema informático protegido, expondo os dados informáticos a risco de divulgação ou de utilização indevida. O crime, que é de perigo, sujeita o sujeito ativo a penas de seis meses a um ano ou multa, permitindo a utilização do benefício da transação penal, conceituado como crime de menor potencial ofensivo. Por sua vez, na mesma pena incorre quem, sem autorização ou indevidamente produz, mantém, vende, obtém, importa, ou por qualquer outra forma distribui códigos de acesso, dados informáticos ou programas, destinados a produzir a ação descrita no caput do artigo(§ 1º). Se houver prejuízo econômico, aplica-se uma causa de aumento de pena de um sexto a dois terços, se do acesso resulta prejuízo.

IV – A CONVENÇÃO DE BUDAPESTE

Na espécie, o Brasil necessita aderir à Convenção de Budapeste sobre Crime Cibernético.

Criada em 2001 na Hungria pelo Conselho da Europa, e em vigor desde 2004, trata-se do único instrumento internacional vinculante sobre este tema, servindo de orientação para qualquer país que pretenda desenvolver legislação nacional abrangente contra o cibercrime e de framework para a cooperação internacional entre os Estados-membros do tratado. O escopo dos crimes cibernéticos tutelados inclui as violações a direitos autorais e conexos, fraudes relacionadas ao uso de sistemas e dados, pornografia infantil e violações à segurança de redes, todos praticados na Internet.

o texto da Convenção abarca tanto os crimes cibernéticos ditos "próprios" quanto "impróprios", isto é, respectivamente, aqueles que possuem como objeto de tutela os bens informáticos (crimes voltados contra a inviolabilidade e uso devido dos dados e informações cibernéticas em si, como, por exemplo, o acesso não autorizado ou hacking) e crimes contra bens jurídicos diversos, mas que se utilizam da informática enquanto instrumento para sua execução (como, por exemplo, crimes contra a honra na internet, armazenamento de imagens de pedofilia, violação a direitos autorais online, etc.).

Desde sua entrada em vigor, a Convenção foi atualizada algumas vezes por meio de atos legislativos europeus complementares - o último sendo a Diretiva 2013/40/UE do Parlamento Europeu - que mantiveram o seu texto original como base. Dentre seus 4 capítulos (terminologia, medidas a tomar em nível nacional, cooperação internacional e disposições finais) e 48 artigos, a Convenção tipifica os crimes cibernéticos a partir das seguintes agrupações temáticas:

- Infrações contra a confidencialidade, integridade e disponibilidade de sistemas informáticos e dados informáticos (Capítulo II, Título 1);

- Infrações relacionadas a computadores (Capítulo II, Título 2);

- Infrações relacionadas ao conteúdo - pornografia infantil (Capítulo II, Título 3);

- Infrações relacionadas à violação de direitos autorais e conexos (Capítulo II, Título 4).

O Tratado do Conselho Europeu sobre Crime Cibernético usa o termo "cibercrime" para definir delitos que vão de atividades criminosas contra dados até infrações de conteúdo e de copyright [Krone, 2005]. Outros autores [Zeviar-Geese, 1997-98], no entanto, sugerem que a definição é mais ampla e inclui atividades como fraude, acesso não autorizado, pornografia infantil e cyberstalking (assédio na Internet). O Manual de Prevenção e Controle de Crimes Informáticos das Nações Unidas inclui fraude, falsificação e acesso não autorizado [Nações Unidas, 1995] em sua definição de cibercrime.

No chamado crime cibernético o computador ou dispositivo ode ser o agente, o facilitador ou a vítima do crime. O delito pode ocorrer somente no computador bem como em outras instalações.

Há crimes cibernéticos chamados do tipo I e do tipo II.

Os analistas costumam apresentar nos crimes cibernéticos do tipo I as seguintes características (Norton by Symantec):

“Do ponto de vista da vítima, trata-se de um evento que acontece geralmente apenas uma vez. Por exemplo, a vítima baixa sem saber um Cavalo de Tróia que instala um programa de registro de digitação no computador. Também é possível que a vítima receba um e-mail contendo o que parece ser um link para uma entidade conhecida, mas que na realidade é um link para um site malicioso.

1}· Isso é frequentemente facilitado por software de atividades ilegais, tais como programas de registro de digitação, vírus, rootkits ou Cavalos de Tróia.

2}· Em muitos casos, falhas ou vulnerabilidades no software fornecem um ponto de apoio para o criminoso. Por exemplo, criminosos que controlam um site podem aproveitar a vulnerabilidade de um navegador da Web para introduzir um Cavalo de Tróia no computador da vítima.

Exemplos desse tipo de crime cibernético incluem o phishing, o roubo ou a manipulação de dados ou serviços através de pirataria ou vírus, roubo de identidade e fraude no setor bancário ou de comércio eletrônico.

Os crimes cibernéticos do tipo II incluem, mas não se limitam a atividades como assédio e molestamento na Internet, violência contra crianças, extorsão, chantagem, manipulação do mercado de valores, espionagem empresarial complexa e planejamento ou execução de atividades terroristas. As características do crime cibernético do tipo II são:

• Trata-se geralmente de uma série contínua de eventos envolvendo interações repetidas com a vítima. Por exemplo, o criminoso entra em contato com a vítima em uma sala de bate-papo para estabelecer uma relação ao longo do tempo. Com o tempo, o criminoso aproveita a relação para cometer um crime. Outro exemplo: membros de uma célula terrorista ou organização criminosa usam mensagens ocultas para se comunicarem em um fórum público para planejarem atividades ou discutirem sobre localizações para lavagem de dinheiro.
• Geralmente, eles usam programas que não estão incluídos na classificação de atividades ilegais. Por exemplo, as conversas podem acontecer usando clientes de IM (mensagens instantâneas) ou arquivos podem ser transferidos usando FTP.”

V – OS CRIMES QUE PODERIAM TER SIDO COMETIDOS NO ATAQUE AO STJ

A periculosidade do grupo envolvido, cuja conduta deve ser vista diante da doutrina finalista do domínio do fato não para aí.

Se isso não bastasse, ministros, servidores, estagiários, prestadores de serviço, partes envolvidas nos processos, advogados, poderão ter seus dados devassados, de sorte a trazer uma preocupação a todos com eventuais extorsões, estelionatos, falsidades documentais e outros delitos que poderão ser cometidos. Tudo dentro de um núcleo de organização criminosa para tanto instalado com o objetivo de cometer esse grave delito. Tudo a partir do crime enfocado contra os dispositivos eletrônicos do STJ.

O ataque criminoso mostra que há fragilização no sistema de dados de instituições públicas razão por que é mister que medidas sejam tomadas para evitar a proliferação desses casos.

VI – UM DELITO DOS TEMPOS MODERNOS

Esses delitos dos tempos modernos afrontam à democracia.

É preciso investigar se essa ação parte de organizações criminosas instaladas no estrangeiro.

Para se ter uma ideia, nas eleições de 2018, nos Estados Unidos, em que Donald Trump foi eleito.

 De acordo com a Bloomberg, a ação de hackers russos sobre as eleições norte-americanas foi muito maior do que se pensava. Segundo fontes anônimas e documentos da NSA (Agência de Segurança Nacional) vazados pelo The Intercept, os cibercriminosos atacaram os sistemas eleitorais de 39 estados dos EUA.

Ainda não há reivindicações sobre essas invasões, contudo, acredita-se que um grupo chamado Fancy Bear esteja por trás dos ataques. O relato obtido mostra o seguinte: os hackers russos conseguiram acessar as base de dados financeiras de campanhas e também tentaram apagar ou alterar dados de votações. Deste último, o caso mais proeminente aconteceu em Illinois, um dos 39 estados norte-americanos hackeados.

VII – A COMPETÊNCIA DA JUSTIÇA FEDERAL PARA INSTRUIR E JULGAR CRIMES CIBERNÉTICOS QUE OCORREM ALÉM FRONTEIRAS

Urge que o Ministério Público Federal investigue em todas as circunstâncias de materialidade e autoria os fatos narrados.

Mesmo que a conduta tenha origem no exterior a competência para instruir e julgar o crime será da Justiça Federal.

Para tanto, trago à colação pronunciamento do ministro Edson Fachin, no RE 628.624, Relator (a): Min. MARCO AURÉLIO, Relator (a) p⁄ Acórdão: Min. EDSON FACHIN, Tribunal Pleno, julgado em 29⁄10⁄2015, ACÓRDÃO ELETRÔNICO REPERCUSSÃO GERAL - MÉRITO DJe-062 DIVULG 05-04-2016 PUBLIC 06-04-2016).

Segundo ele, há três requisitos essenciais e cumulativos para a definição da competência da Justiça Federal na matéria: que o fato seja previsto como crime em tratado ou convenção; que o Brasil seja signatário de compromisso internacional de combate à espécie delitiva; que exista uma relação de internacionalidade entre a conduta criminosa praticada e o resultado produzido [ou que deveria ter sido produzido.