Artigos

Reflexões acerca do delito de invasão de dispositivo informático

Canal Ciências Criminais

Dayane Fanti Tangerino


Como já é de amplo conhecimento da comunidade jurídica em geral, a Lei 12.737/2012 introduziu no ordenamento penal brasileiro o crime denominado “invasão de dispositivo informático”, capitaneado no artigo 154-A do Código Penal que entrou em vigor a partir de 03 de abril de 2013.

Desde sua elaboração, durante toda sua tramitação e, em muito, após sua vigência a referida lei sofreu inúmeras críticas, muitas delas especialmente dirigidas ao citado artigo 154-A. Nosso propósito aqui hoje é apresentar ao leitor algumas destas críticas e reflexões exaradas acerca deste tipo penal.

Façamos, por ora, a análise do que dispõe o artigo 154-A do Código Penal, in verbis:

“Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa”.

E no parágrafo 1º do referido artigo encontramos que:

“§ 1º. Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

Da inicial, superficial e simples leitura do texto legal, muitas questões já são extraídas.

A primeira que podemos suscitar é aquela que trata da posição do tipo no Código Penal. O artigo 154-A está “anexado” ao artigo 154 que trata da violação do segredo profissional, artigo este que integra a Seção IV que traz os crimes contra a inviolabilidade dos segredos. Muito bem! Mas, se olharmos a doutrina e até mesmo os legisladores afirmando que o bem jurídico protegido pelo novo tipo penal é a intimidade, a vida privada, a honra e a imagem das pessoas, por que o tipo de “invasão de dispositivo informático” não veio “anexado” ao artigo 153 ou mesmo como um tipo autônomo, com numeração própria? Colocá-lo a reboque do artigo 154 é aproximá-lo da violação do segredo profissional, deixando em segundo plano a ideia de proteção pessoal.

Ademais, outras seções do Código Penal poderiam comportá-lo com muito mais propriedade, como, por exemplo, a Seção I – Dos crimes contra a liberdade pessoal, inserida no Capítulo VI que trata da proteção da liberdade individual. A verdade é que a opção mais acertada seria ter criado um tipo com numeração própria, pois, se bem observado, o artigo 154-A nada tem a ver com o conteúdo do artigo 153, 154 ou de qualquer outro artigo do Código Penal; trata-se de elaborar um Capítulo que traga tipos penais afetos às novas tecnologias e inovações da era da sociedade da informação, a exemplo do que tem sido feito em alguns países da Europa e na Argentina.

Outra questão que vale o comentário é a que trata dos conceitos embutidos na descrição do tipo penal. Só essa questão mereceria um artigo a parte, frente a sua complexidade. Vejamos: qual o conceito de dispositivo informático alheio? Havendo um proprietário e um comodatário, quem deverá dar o consentimento para que se desconsidere a ação invasiva como criminosa? E se estivermos diante de dispositivos informáticos fornecidos e utilizados em ambiente de trabalho? As informações contidas no dispositivo são exclusivamente do empregador, não cabendo ao empregado nenhum tipo de ingerência pessoal sobre elas no que concerne à autorização para acesso? E quanto aos dispositivos pessoais utilizados para relações de trabalho (BYOD ou WYOD)? Quem é o titular do dispositivo, o proprietário legal ou o usuário? E das informações e dados nele contidos?

Outra pergunta: quando falamos de violação indevida, o que estamos querendo excluir, ou seja, o que seria uma “violação devida”? Estamos tratando aqui das “invasões” autorizadas realizadas por profissionais de segurança da informação visando demonstrar e corrigir vulnerabilidades? E o que são mecanismos de segurança? A simples proteção de tela habilitada com teclado numérico com senha de 4 dígitos poderia ser considerado um mecanismo de segurança? Ou quando a lei trouxe esta expressão estava referindo-se a instrumentos efetivos de segurança, tais como programas antivírus, firewall, criptografia etc?

Além disso, todo e qualquer dado está contido nas palavras “dados ou informações” trazidas pela descrição do tipo ou o que se visa proteger da invasão são os dados sensíveis e as informações sigilosas? Se da invasão resulta acesso a pastas de arquivos vazias e aplicativos desatualizados, ainda assim seria considerada esta invasão o crime do artigo 154-A? Poderíamos criminalizar a conduta caso o invasor não consiga obter, adulterar ou destruir dado ou informação alguma? Ou trata-se de invasão sem o fim específico descrito na tipificação penal e, portanto, atípica?

Quando tratamos da expressão “sem autorização expressa ou tácita”, do que estamos falando? Deixar o aparelho celular, por exemplo, sobre a mesa de um bar ou na área de café do ambiente de trabalho com a tela inicial desbloqueada e a pasta de fotos aberta seria uma espécie de autorização tácita?

Ao final do caput do art. 154-A temos a conduta alternativa “ou instalar vulnerabilidades para obter vantagem ilícita”, bem como no § 1º temos que na “mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput”.  Podemos dizer que aquele que produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta de invasão, trazida pelo caput estaria sendo criminalizado pela mera prática de produzir, oferecer, distribuir, vender ou difundir os denominados “vírus”, ou este indivíduo seria criminalizado apenas se alguém instalasse a vulnerabilidade (dispositivo ou programa) por ele produzida, oferecida, distribuída, vendida ou difundida e, a partir desta instalação lograsse êxito em obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo?

Haveria criminalização do produtor, distribuidor, vendedor ou difusor de dispositivo ou programa “vírus” ainda que não houvesse potencialidade lesiva no seu ato? E, por fim, sem o intuito de encerrar o rol de questões afetas a este tema, que se estende para muito além desse espaço que aqui dispomos, trazemos uma última reflexão que aborda uma relevante questão processual, afeta à essência prática da aplicabilidade da norma. Tal questão está posta na análise do procedimento criminal pelo qual se busca a autoria e a materialidade do fato criminoso.

Vamos entender: a pena abstratamente imposta para aquele que pratica o delito de “invasão de dispositivo informático” é de detenção, de 3 (três) meses a 1 (um) ano, além da multa, na sua forma simples. Ocorre que a Lei 9.099/95, em seu artigo 61 traz a definição de infrações de menor potencial ofensivo, conceituando-as como aquelas contravenções penais ou aqueles crimes a que a lei comine pena máxima não superior a 2 (dois) anos, cumulada ou não com multa, ou seja, se a pena máxima abstrata de um crime é de até 2 (dois) anos, este crime é entendido como infração de menor potencial ofensivo; no nosso caso, portanto, o crime de “invasão de dispositivo informático” é um crime de menor potencial ofensivo, pois sua pena máxima cominada abstratamente é de 1 (um) ano.

Mesmo na forma majorada do §2º, a pena máxima não ultrapassaria 1 (um) ano e 4 (quatro) meses (aumento máximo de um terço), de modo que seguiria como infração de menor potencial. Disso decorrem algumas problemáticas que só teremos espaço aqui para apontar, mas que com certeza serão objeto de reflexão futura: se o crime de “invasão de dispositivo informático” é um crime de menor potencial ofensivo, deverá, por força de lei ser processado perante o Juizado Especial Criminal, por meio de rito sumaríssimo; considerando-se que o rito sumaríssimo do Juizado Especial orientar-se-á pelos critérios da oralidade, informalidade, economia processual e celeridade, sabe-se que quando há necessidade de perícia, em especial, perícia especializada, como seria aquela afeta à informática, Internet, etc, o processo é considerado complexo e deve ser remetido à Justiça Comum para seguir o rito Ordinário, ou seja, a quase totalidade dos delitos praticados por meio das novas tecnologias impõe a necessidade de perícia para sua apuração.

Sabendo-se disso, concluímos que praticamente todos os processos envolvendo o crime descrito no artigo 154-A do CP serão iniciados no Juizado Especial para, posteriormente, serem remetidos à Justiça Comum, tornando a tramitação mais lenta e morosa do que já é atualmente, favorecendo a ocorrência da prescrição penal destes delitos que, também por possuírem penas relativamente baixas, possuem prazos prescricionais curtos (no caso do delito do artigo 154-A a pena de prescrição ocorrerá em quatro anos). Em outras palavras, não fora considerado pelo legislador ordinário a incompatibilidade de apuração do crime em comento com o rito legalmente fixado. Mais um entrave à prática forense no tocante ao delito objeto desta reflexão.

Ocorre que o que vemos aqui é o reflexo do “jeitinho” legislativo brasileiro que, ao invés de reformular o código material penal de forma sistêmica, insiste em acrescer ou “remendar” de forma totalmente assistêmica os leis brasileiras, legislando muito mais para satisfazer pressões setoriais e políticas do que para regular os tensões e conflitos sociais. Em suma, muitas são as questões que atormentam o cotidiano investigativo e forense no tocante aos delitos perpetrados por meio das novas tecnologias.

Cabe-nos aqui, aos poucos, conhecê-las, apresentá-las e sobre elas refletir, a fim de construir soluções ou, no mínimo, críticas construtivas a estes fenômenos que nos rodeiam na lide jurídica.

_Colunistas-Dayane

Autor
Mestre em Direito Penal. Advogada.
    Continue lendo
    Receba novidades em seu e-mail