• 13 de dezembro de 2019

Crimes digitais e os vírus computacionais

 Crimes digitais e os vírus computacionais

Por Marcelo Crespo

Em artigos anteriores já restou clara minha predileção para a temática relacionada ao Direito e à Tecnologia, em especial aos crimes digitais. Esta escolha não adveio de mera curiosidade ou vocação para comentar assuntos que estão nas principais pautas da mídia em geral. Decorreu, de fato, de estudos que remontam a 1998, ano que em ingressei no curso de bacharelado em Direito, época em que as relações do entre Direito e Tecnologia já me encantavam, razão pela qual iniciei pesquisas sobre o tema. Daí decorreram meu trabalho de conclusão de curso sobre crimes digitais, tema que seria alvo da minha dissertação de mestrado alguns anos mais tarde, até que adviesse a obra Crimes Digitais e muitos outros envolvimentos com o Direito Digital.

Nesta coluna já houve oportunidade de discorrer sobre o conceito de crimes digitais e aspectos da sua tipicidade em face das leis brasileiras, entre outros. Hoje a proposta é esclarecer um pouco mais dos vírus computacionais e sua tipicidade.

Vírus computacionais também são conhecidos como malwares (neologismo advindo de malicious + softwares ou softwares maliciosos) e nada mais são que programas computacionais que basicamente causam danos ao equipamento ou às pessoas que os utilizam.

A exemplo dos vírus que atacam os seres humanos, os vírus computacionais variam quanto ao seu grau de destruição, podendo trazer ao usuário de um equipamento tecnológico mero inconveniente no uso do sistema (lentidão ou incapacidade de acessar arquivos, por exemplo) bem como a total perda de dados e corrupção de arquivos.

Por representar um sério problema em tempos atuais, o legislador não o ignorou e previu tipificação no §1º do art. 154-A do Código Penal, inserido pela Lei 12.737/12, nos seguintes termos:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. (destacamos)

Note-se que o §1º do art. 154-A, CP incrimina a conduta daqueles que produzem, oferecem, distribuem, vendem a terceiros, ou simplesmente difundem aleatoriamente dispositivos ou programas de computador que possam ser utilizados por terceiros para invadirem dispositivos informáticos ou neles instalar vulnerabilidades. Bem, sobre instalar vulnerabilidades, já comentamos a impropriedade técnica na redação uma vez que “vulnerabilidades” não são instaladas, mas sim exploradas.

Importa, então, ressaltar que o legislador pretendeu punir a conduta de quem pratica as condutas narradas no §1º do art. 154-A, CP que objetivem obter informações e dados que lhes possam trazer uma vantagem ilícita. Trata-se dos casos de disseminação de trojans e keylloggers, vírus que são instalados para a captação de dados pessoais, tais como senhas dos usuários.

Neste ponto é fundamental esclarecer que “vírus” é o nome genérico do qual fazem parte várias espécies, tais como worms, keyloggers, trojans, rootkits e os spywares.

Os worms nada mais são que uma espécie de vírus que se reproduzem automaticamente, isto é, sem que seja necessário intervenção do usuário do equipamento tecnológico. Uma vez dentro do sistema, multiplicam-se, causando desde lentidão na máquina até mesmo a perda de dados e propagação de si mesmos para outros sistemas. Em alguns casos, possibilitam que a máquina infectada seja controlada remotamente, ou seja, que um terceiro possa ler arquivos, acessar contas, excluir programas, espionar a intimidade, etc.

Na mitologia fala-se do Cavalo de Tróia numa história grega em que um aparente presente dado ao Rei como bajulação era, na realidade, uma armadilha, vez que tinha em seu interior soldados que acabaram por tomar a cidade de Tróia. A história da guerra foi reproduzida na Ilíada de Homero, embora ali não se mencionasse o cavalo, que apareceu brevemente na obra Odisséia.

Assim, os trojan horses ou apenas trojans são a versão moderna dessa fraude, consistindo em programas que aparentam ser legítimos mas que trazem escondidos alguma espécie de código que possibilita o cometimento de atividades prejudiciais aos usuários de um computador. Eles, em regra, não se espalham automaticamente, como os worms.

Quanto ao controle remote das máquinas, embora de per si não configure uma atividade necessariamente ilicita (já que o proprietário da máquina pode permitir o uso de um programa para acesso remoto, por vezes até mesmo para que seja promovido algum reparo), podem configurar ilícito.

Note-se que os rootkits nada mais são que trojans específicos que permitem que o computador seja controlado remotamente. Ou seja, são programas que escondem códigos que dão a um terceiro a capacidade de controle de uma máquina contaminada. Um rootkit é, portanto, um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.

Também devemos lembrar da existência dos spywares, que se destinam ao rastreamento de informações das máquinas, como, por exemplo, os websites que o usuário costuma visitar. Isso é feito sub-repeticiamente. Já percebeu que quando você faz uma pesquisa em buscadores da Internet, logo após os produtos e serviços pesquisados aparecem “magicamente” em outras páginas visitadas que não teriam imediata relação com a pesquisa? Pois é. Isto é trabalho dos cookies, um pequeno arquivo enviado para as máquinas para que registre preferências do usuário e poder dirigir-lhes propagandas especialmente relacionadas com os interesses do destinatário. Os spywares fazem o mesmo, de forma mais ampla e sem o conhecimento do usuário.

Há, ainda, os chamados keyloggers, que são programas que captam as teclas digitadas no teclado do computador ou no teclado virtual, através de cliques e são ferramentas importantes utilizadas pelo criminosos para a obtenção (indevida) de senhas de contas bancárias, cartões de crédito, acesso a sistemas etc. Aparentemente soam como vírus novidadeiros, mas recentemente se noticiou que a Rússia utilizava uma espécie de keylogger em máquinas datilográficas elétricas dos norte-americanos para espioná-los durante a guerra fria. Atualmente os keyloggers são os grandes responsáveis pela obtenção indevida de credencias dos usuários enquanto utilizam a Internet.

Fosse a ideia exaurir os tipos de vírus/malwares haveria ainda muito a se dizer. No entanto, o cenário acima já nos permite compreender o alcance do §1º do art. 154-A, CP quanto aos vírus.

Em conclusão, só estará tipificada a conduta de quem produzir, oferecer, distribuer, vender a terceiros ou simplesmente difundir aleatoriamente dispositivos ou programas de computador que sejam utilizados com o fim de

obter, adulterar, destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades. A simples divulgação de vírus para a espionagem (considerando que a conduta se limite a isso) não configura crime, por exemplo.

Vê-se que, mais uma vez, nossa legislação não atende adequadamente a proteção que se propôs, inclusive pela pequeníssima pena imposta a este tipo de crime: detenção, de 3 (três) meses a 1 (um) ano, e multa. Lamentável.

_Colunistas-MarceloCrespo

Marcelo Crespo

Advogado (SP) e Professor