As Leis nº 12.735/2012 e 12.737/2012 e os crimes digitais: acertos e equívocos legislativos
Por Marcelo Crespo
Na semana passada vimos que há, basicamente, dois tipos de crimes digitais, os próprios ou puros (conhecidos como crimes de risco informático, como o hacking, a criação e disseminação de vírus e o embaraçamento ao funcionamento dos sistemas, por exemplo) e os impróprios ou mistos (cujo envolvimento com a tecnologia decorre do modus operandi com aparatos tecnológicos). Feitos tais esclarecimentos, cremos ter desfeito o equívoco que se cometia ao dizer que inexistiam leis que pudessem punir condutas criminosas praticadas com o uso da tecnologia, especialmente quanto aos crimes digitais impróprios.
Os comentários de hoje serão sobre as leis nº 12.735 e 12.737, que foram publicadas em 03 de dezembro de 2012 com vacatio legis de 120 dias e foram apelidadas respectivamente de “Lei Azeredo” e “Lei Carolina Dieckmann”. Os apelidos são alusões a Eduardo Azeredo, relator do projeto 84/99 que se tornou a lei nº 12.735 e, ainda, à atriz, que em de 2012 teve divulgadas fotos onde se encontrava nua (mas veremos que a lei 12.737 não se aplica ao seu caso).
Sobre a lei nº 12.735/12, enquanto projeto foi apelidada de “AI-5 digital” por conta dos pontos polêmicos que continha, em especial, os referentes à guarda dos logs de acesso dos usuários pelos provedores. Em face disso o projeto foi esvaziado e se tornou uma lei com poucas e frágeis disposições. Em resumo, o texto aprovado determina que os órgãos da polícia judiciária deverão criar delegacias especializadas no combate a crimes digitais (art. 4º). A medida é salutar, mas depende do Poder Público a ela prover a concretude necessária, investindo na especialização da Polícia com treinamentos e equipamentos. Ainda não se pode dizer que as delegacias que foram criadas estão plenamente aptas a prover o atendimento adequado às vítimas de crimes digitais.
Além disso, a lei nº 12.735 no art. 5º, determinou que a lei nº 7.716 passasse a conter o inciso II no §3º do art. 20 para obrigar que a prática, a indução ou incitação de discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional, praticados por intermédio dos meios de comunicação social ou publicação de qualquer natureza, tenham a cessação das respectivas transmissões radiofônicas, televisivas, eletrônicas ou da publicação por qualquer meio.
Foram anos e anos de tramitação para que o resultado se resumisse a essas duas normas, tecnicamente desejáveis, mas sem efetividade prática porque o poder geral de cautela dos juízes já poderia determinar a remoção dos ilícitos publicados e, especialmente porque a lei não cria as delegacias especializadas, dependendo da boa vontade da Administração Pública em fazê-lo.
Com o esvaziamento do projeto nº 84/99 e, ainda, com a notoriedade dos fatos envolvendo a circulação de fotos nuas da atriz, ambos em 2012, o Deputado Paulo Teixeira se mobilizou para aprovar uma lei que pudesse reprimir os crimes digitais. Ocorre que a lei aprovada não se aplica ao caso da Carolina Dieckman, que foi, de fato, extorquida para que pagasse valores em troca da não divulgação das fotos.
Pois bem. Neste sentido, a lei nº 12.737 pretendeu criminalizar a criação e disseminação de vírus computacional, os ataques tipo Denial of Service (DoS) e, ainda, o chamado hacking (invasão a sistemas), entre outras condutas. A lei inseriu os arts. 154-A e 154-B no Código Penal, criando a “invasão de dispositivo informático” e regulamentando sua ação penal, que será condicionada à representação como regra e, no caso de prática em desfavor da Administração Pública, será pública incondicionada.
O art. 154-A se localiza no Titulo I do Capítulo VI do Código Penal, ou seja, dentro do rol de crimes contra a pessoa, o que já cria um questionamento: as pessoas jurídicas podem ser sujeitos passivos deste crime? Muito mais do que a liberdade individual, o tipo do art. 154-A tutela a segurança dos sistemas, pelo que entendemos que os sujeitos passivos não se resumem às pessoas físicas.
Segundo dispõe o art. 154-A, ter-se-á “invasão” quando alguém:
“Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo, instalar vulnerabilidades ou obter vantagem ilícita”.
“Invadir” sugere que o dispositivo informático objeto do crime seja acessado mediante violação de mecanismo de segurança, que poderá ser uma senha ou um firewall. Por isso a redação nos soa redundante, haja vista que sem a superação de uma barreira não há que se falar em invasão, mas de acesso. E, nesta perspectiva, haverá crime impossível por impropriedade do objeto, caso o dispositivo se encontre desprotegido.
Questão importante é analisar o que pode ser caracterizado como “dispositivos informáticos”. Este conceito abrange não só os computadores, mas telefones celulares, smartphones, tablets, pen drives, entre outros. Ressalte-se que apesar da amplitude do conceito, seria muito difícil substituí-la por outra mais restrita, já que atualmente vivemos em uma sociedade em que grande parte do tráfego de dados na Internet advém de equipamentos móveis, não apenas computadores, por exemplo. E isso inviabilizaria arrolar quais os equipamentos poderiam ser alvo do crime em comento.
É fundamental considerar, ainda, que este tipo penal exige uma finalidade específica para sua configuração, ou seja, é preciso que a invasão tenha a finalidade de obter, adulterar ou destruir dados ou informações armazenadas, instalar vulnerabilidades ou obter vantagem ilícita. Por outro lado, é desnecessário o resultado para que o crime se consume. Ou seja, a invasão de dispositivo informático mediante violação de mecanismo de segurança com o intuito exclusivo de se observar o que lá existe não é figura típica, o que não nos parece correto porque sob a ótica do bem jurídico que se pretendeu tutelar (segurança dos sistemas), este foi maculado. Conclui-se, ainda, que não são tipificadas as condutas decorrentes da realização de testes de penetração (penetration tests ou pen tests), aqueles em que a análise das vulnerabilidades do equipamento são feitas por simulações de ataques, geralmente feito por consultorias especializadas contratadas para tal fim.
Saliente-se, ademais, que a vantagem pretendida pelo agente é qualquer benefício, ganho ou lucro e deve ser ilícita, indevida, seja ela econômica ou não. Do contrário, caso não almeje o agente obter uma vantagem, mas tão somente deixar o dispositivo da vítima desprotegido, não se caracterizará este delito.
Todas as condutas narradas no art. 154-A têm penas máximas não superiores a dois anos, o que as torna infrações penais de menor potencial ofensivo nos termos do art. 61 da lei 9.099/95, sendo julgadas nos Juizados Especiais Criminais, excetuados os casos em que a complexidade ou circunstância dos fatos imponham sua remessa ao juízo comum. No entanto, isso ocorrerá com frequência, tendo-se em vista que a materialidade desses crimes quase sempre são demonstradas por meio de perícias, as quais não se coadunam com os princípios norteadores dos procedimentos em curso perante o Juizado (art. 62 da Lei 9.099/1995).
O art. 154-A, §1.º incrimina, ainda, conduta assemelhada, com vistas a punir aqueles que fabricam, oferecem, distribuem ou vendem a terceiros, ou simplesmente difundem aleatoriamente dispositivos ou programas de computador que possam ser utilizados por terceiros para invadirem dispositivos informáticos ou neles instalar vulnerabilidades. Sobre instalar vulnerabilidades, há uma impropriedade técnica na redação uma vez que “vulnerabilidades” não são instaladas, mas sim exploradas. O legislador pretendeu punir a conduta de quem instala vírus (malwares) que objetivam obter informações e dados que lhes possam trazer uma vantagem ilícita. Trata-se dos casos de disseminação de trojans e keylloggers, vírus que são instalados para a captação de dados pessoais, tais como senhas dos usuários.
O art. 154-A, §2.º trouxe causa de aumento de pena de um sexto a um terço caso das condutas decorra prejuízo econômico e, no §3º há aumento para os casos em que houver a obtenção de informações sensíveis, como o conteúdo de comunicações privadas armazenadas nos dispositivos informáticos da vítima
A lei previu penas mais rigorosas no §3.º para os casos em que, da invasão, resulte a “obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido”. Esta conduta, no entanto, não se confunde com o conhecimento das comunicações em simultaneidade à sua realização entre os interlocutores, o que ensejaria a aplicação do art. 10 da Lei 9.296/1996, por se configurar interceptação telemática. Este mesmo parágrafo (3.º) pune a obtenção de segredos comerciais ou industriais, sendo desnecessário que sejam utilizados para qualquer finalidade específica. Por fim, esta norma também incriminou o controle remoto não autorizado do dispositivo invadido. Saliente-se, contudo, que a manutenção remota de sistemas por empresas prestadoras de serviço não caracteriza o crime, salvo quando ultrapassar a finalidade ínsita ao serviço e desdobrar-se para uma velada e escusa obtenção, adulteração ou destruição de dados ou informações do dispositivo em manutenção.
Por seu turno, no § 4.º há causa de aumento de pena de um a dois terços sempre que houver “divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos, se o fato não constitui crime mais grave”. Trata-se de uma necessária complementação ao parágrafo anterior porque, normalmente, a obtenção de informações sigilosas e de segredos comerciais ou industriais visa a um proveito econômico para o agente, o qual será obtido com a comercialização ou transmissão a terceiros, ou a um prejuízo para o concorrente, o que se dará na hipótese de indevida divulgação para o mercado. A divulgação e a exploração econômica desses dados ou informações podem caracterizar também o crime de concorrência desleal previsto no art. 195, XII, da Lei 9.279/1996. Porém, pode-se sustentar que, por ser posterior, a Lei 12.737 prevalecerá nas modalidades “divulgação” e “exploração”.
No §5.º, que encerra as disposições do art. 154-A, prevê-se que as penas serão aumentadas de um terço até a metade nos casos em que os crimes forem praticados em detrimento de autoridades públicas.
A lei nº 12.737 pretendeu incriminar, também, a interferência em sistemas ultimada pelos ataques Denial of Service ou, no vernáculo, denegação de serviço. Por isso criou o §1º do art. 266, que recebeu o nomen juris de “Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública”. Ocorre que o Código Penal já havia tipificado a conduta do art. 266, caput, cujo objeto jurídico é a incolumidade pública, e cujo objeto material se restringia então aos serviços de telegrafia, radiotelegrafia e telefonia. Ao acrescentar o § 1.º se pretendeu também resguardar o serviço telemático ou de informação de utilidade pública, tipificando a conduta de quem o interrompe por meio do Denial of Service, impede ou dificulta-lhe o restabelecimento. Faz-se necessário, portanto, que o serviço afetado seja público, ainda quando exercido por empresa concessionária (autoritária ou permissionária). Logo, atividades privadas de comércio eletrônico que não sejam de utilidade pública não estão protegidas pela lei, pelo que, com a tipificação advinda pela inserção do §1.º não se resolve o problema dos ataques de denegação de serviço contra particulares. E este é um problema cada vez mais frequente.
Por fim, a lei nº 12.737/12 previu uma alteração nos crimes de falso, precisamente no art. 298 (falsificação de documento particular). Desta forma, o parágrafo único passou a equiparar a falsificação de cartão de crédito ou débito à falsificação de documento particular o que, diga-se, é praticamente inócuo. Isso porque quase sempre a falsificação é um meio para a obtenção de vantagem indevida. Nestes casos, o falso ficaria, então, absorvido pelo crime de estelionato, nos termos da Súmula nº 17 do Superior Tribunal de Justiça, que dispõe que “quando o falso se exaure no estelionato, sem mais potencialidade lesiva, é por este absorvido.” Não obstante, caso o agente venha, agora, apenas a falsificar os cartões, sem a eles pessoalmente conferir algum uso, será punido pelo crime autônomo, o que se reputa que será bastante raro, até mesmo porque as falsificações, muitas vezes, não se concretizam na confecção de cartões plásticos, mas na geração sistêmica de números de cartões.
Em resumo, era mesmo necessário uma intervenção legislativa para tratar de crimes digitais próprios e assim, melhor regulamentação de condutas praticadas no âmbito e com o uso da tecnologia. Entretanto, a expectativa era de que os termos utilizados fossem mais técnicos e precisos, que as penas atribuídas aos crimes fossem mais adequadas à gravidade das condutas e, ainda, que fosse inserida a tipificação dos ataques Denial of Service contra os particulares em geral. Não foi o que ocorreu, mas a lei nº 12.735/12 é a mais específica sobre crimes digitais próprios que pudemos obter do nosso Legislativo.
