Resumo: O aumento no número de crimes virtuais e seu impacto na sociedade brasileira levaram o legislador a criar normas jurídicas para coibir tais práticas. Entre elas, o avanço mais recente reside na Lei Federal nº 12.737/12 que, sancionada em 2 de dezembro de 2012, representou um importante avanço da legislação brasileira na tipificação e combate a tais crimes. Este artigo tem como foco de estudo a conceituação e classificação dos denominados crimes cibernéticos, realizando um comparativo com a referida lei, analisando seu escopo e limites de atuação.
Palavras-chave: Crimes Cibernéticos. Lei 12.737/2012. Tecnologia da Informação. Segurança da Informação.
Abstract: The increasing number of virtual crimes and their impact on the brazilian society has taken the legislator to create new legal norms to inhibit such practices. Among them, the most recent innovation resides on the federal law nº 12.737/12 enacted on December, 2 of 2012, representing an important advance of brazilian legislation on typification and combat of such crimes. This papper has the aim of study the conceptuation and classification of the so-called cybernetic crimes, accomplishing a comparison with that law, analysing its scope and limits of usage.
Keywords: Cybernetic Crimes. Law 12.737/2012. Information Technology. Information Security.
Sumário: Introdução. 1. Crimes Cibernéticos. 2. Breve Análise da Legislação Brasileira. 3. Lei 12.737/2012. Conclusão. Referências.
INTRODUÇÃO
As evoluções tecnológicas das últimas décadas têm permitido uma maior difusão de recursos de Tecnologia da Informação, como, por exemplo, smartphones, notebooks, tablets e computadores. Aliada a essa situação, a facilidade que existe hoje de acessarmos a internet, e estarmos constantemente conectados, nos expõe a riscos muitas vezes desconhecidos.
Aproveitando-se dessa situação existem sujeitos que se utilizam de tais recursos tecnológicos para o cometimento de ações perniciosas aos usuários. Tais condutas, quando tipificadas pelo Direito Penal, recebem a denominação de crimes cibernéticos.
Constatando uma grave deficiência legislativa no Brasil, onde muitas dessas condutas ainda não são tipificadas pela legislação e encontram nela muitas brechas, sucede-se uma grande sensação de impunidade no meio virtual. Ao mesmo tempo, o Legislativo não acompanha as evoluções cibernéticas, ocasionando um ordenamento jurídico cada vez mais ultrapassado e inócuo.
A Lei Federal n° 12.737/2012 foi uma tentativa do legislador de tipificar novas formas de condutas praticadas por meio de recursos de tecnologia e manifestadamente intoleráveis pela sociedade, porém que ainda não recebiam a devida punição pela falta de cominação legal.
Neste artigo serão demonstrados os conceitos acerca dos crimes cibernéticos, os avanços que a referida lei obteve em busca de uma maior repressão a tais atos e de que forma o Brasil pode modernizar sua legislação nesta área.
1 CRIMES CIBERNÉTICOS
Os crimes cibernéticos recebem muitas denominações. Por serem um fenômeno moderno e de pouca densidade jurídica ainda existe bastante incompreensão no tema.
Pode-se definir os Crimes Cibernéticos como novas modalidades de crimes que diferem dos crimes tradicionais pelo fato de serem praticados contra sistemas de informática e/ou utilizarem algum recurso de tecnologia da informação como meio de se realizar tal conduta.
Mais ainda, crime cibernético é qualquer conduta culpável condenada pelo meio jurídico, ou seja, são condutas típicas, antijurídicas e culpáveis, praticadas utilizando sistemas de informática ou contra eles (Mendes e Vieira, 2012).
Não existe uma definição consolidada para estes crimes, entretanto é unanimidade que para ser considerado crime cibernético, deve este ser praticado com auxílio ou contra sistemas de informática ou comunicação.
Nesse sentido aduz Castro (2001, p. 9):
“Crime de informática é aquele praticado contra o sistema de informática ou através deste, compreendendo os crimes praticados contra o computador e seus acessórios e os perpetrados através de computador. Inclui-se nesse conceito os delitos praticados através da Internet, pois pressuposto para acessar a rede é a utilização de um computador”.
Em definição análoga, Cassanti (2014, p. 3) afirma que crime cibernético é:
“Toda atividade onde um computador ou uma rede de computadores é utilizada como uma ferramenta, base de ataque ou como meio de crime é conhecido como cibercrime. Outros termos que se referem a essa atividade são: crime informático, crimes eletrônicos, crime virtual ou crime digital”.
Embora seja um conceito com variações entre especialistas, ocorre que para uma conduta ser efetivamente considerada crime cibernético, deve esta ser realizada contra ou por meio de um computador (ou sistema informático análogo). Além disso, na maioria das vezes, tal conduta costuma ser realizada por meio da internet em face das vulnerabilidades encontradas na rede mundial de computadores.
Com base nessas definições, resta uma classificação importante sob o ponto de vista jurídico. É a classificação dos crimes cibernéticos em próprios e impróprios.
Grande parte dos crimes cibernéticos já existiam antes do surgimento da internet e dos sistemas computacionais, encontrando nestes apenas mais uma forma de disseminação. Desse modo, pode-se dizer que a rede de computadores e os dispositivos de informática são apenas mais um meio para o cometimento de tais ações delitivas, não sendo necessária a utilização do meio informático para que elas existam. Esses crimes cibernéticos são caracterizados como impróprios.
Complementa Almeida (2015, p. 225) que tais crimes são utilizados:
“[…] para realização de condutas ilícitas que atinge todo o bem jurídico já tutelado, crimes, portanto que já tipificados que são realizados agora com a utilização do computador e da rede, utilizando o sistema de informática seus componentes como mais um meio para realização do crime, e se difere quanto a não essencialidade do computador para concretização do ato ilícito que pode se dar de outras formas e não necessariamente pela informática para chegar ao fim desejado como no caso de crimes […]”.
Exemplos de crimes desse tipo são a disseminação de pornografia infantil, apologia ou incitação ao crime e os crimes contra a honra, tais como difamação, injúria, calúnia, racismo ou xenofobia.
Por outro lado, existem crimes que surgiram a partir da popularização da internet e dos sistemas computacionais, e por isso surgiram apenas com a evolução tecnológica. Nestes casos, os sistemas informáticos e a internet são o único meio para o cometimento do crime. Quando praticados com estas características, são chamados de crimes cibernéticos próprios.
Novamente remetendo à definição de Almeida (2015, p. 224), os crimes cibernéticos próprios:
“[…] são aqueles em que o sujeito ativo utiliza o sistema informático do sujeito passivo, no qual o computador como sistema tecnológico é usado como objeto e meio para execução do crime”.
São exemplos de crimes desta natureza os crimes de invasão a dispositivos e interceptação informática, como por exemplo, a invasão de computador ou celular para o roubo de dados ou informações pessoais.
Tais crimes são de difícil conceituação jurídica, pois tendem a evoluir rapidamente a partir do avanço tecnológico; por esta razão a legislação tende a se desatualizar rapidamente e produzir lacunas que levam à impunidade.
2 BREVE ANÁLISE DA LEGISLAÇÃO BRASILEIRA
A legislação brasileira ainda se mostra muito aquém do que deveria. Existe no ordenamento jurídico uma sucessão de leis esparsas que procuram tratar do tema, porém ainda não existe um código específico que consolide uma taxatividade dos crimes cibernéticos, nem ao menos uma conceituação jurídica adequada.
Tal situação é bastante preocupante em decorrência do crescente número de utilizadores de sistemas de informática e da internet no Brasil, havendo uma urgente necessidade de revisão das normas jurídicas.
O Marco Civil da Internet, regulado por meio da Lei n° 12.965/14, foi um grande avanço nesse sentido, porém existe ainda grave deficiência legislativa na tipificação dos delitos virtuais.
É importante salientar que pelo fato do Direito Penal brasileiro não recepcionar a analogia in malam parte, é imprescindível que os tipos penais sejam bem definidos na legislação, caso contrário, a lei penal incriminadora não pode ser aplicada. É como perfilha Pinheiro (2013, p. 28):
“Portanto, as condutas chamadas de crimes virtuais (embora inexista legislação específica) encontra-se tipificada em textos legislativos existentes (Código Penal e legislação esparsa) e, ao contrário do que alguns autores afirmam, a aplicação da lei já existente a essas condutas não é caso de analogia, pois não são crimes novos, não são novos bens jurídicos necessitando de tutela penal, a novidade fica por conta do modus operandi, de como o criminoso tem feito uso das novas tecnologias, com foco na Internet, fazendo com que os estudiosos e os aplicadores do Direito tenham que renovar o seu pensamento”.
Diniz (2006, p. 45), em brilhante trabalho sobre o tema, também aduz considerações sobre a aplicação da analogia em sede de crimes cibernéticos:
“Também, sendo exigência de lei anterior para definir a conduta delituosa e cominar a pena atinente, não é cabível o emprego da analogia ou ampliações da lei penal, através da interpretação, para incriminar determinada conduta e trazer prejuízos ao sujeito ativo”.
Afirma ainda a autora, que ocorre atualmente um vácuo legal perigoso à ordem social, gerando instabilidade legal e insegurança no ambiente virtual, havendo vários projetos e anteprojetos de leis que tentam criar figuras penais sobre essas condutas.
De fato, a vacância legal cria um ambiente de falsa sensação de impunidade, não tão raros os casos de crimes cometidos em que o sujeito ativo tem a falsa impressão de que a internet é uma “terra sem lei”.
A vacância legal é ainda mais perigosa no caso dos crimes cibernéticos próprios, uma vez que as figuras penais não estão estabelecidas e assim as condutas praticadas por este meio, em muitos casos, não podem ser objetos de ação penal.
Exemplificando, no que se refere aos crimes cibernéticos impróprios, a maioria das condutas é punida por meio do arcaico Código Penal de 1940. São exemplos os crimes contra a honra e os de fraude, furto, chantagem, falsificação, apropriação indébita, falsa identidade, dentre outros.
Uma das primeiras leis criadas especificamente para a informática foi a Lei nº 7.232/84 que estabeleceu princípios e diretrizes sobre a Política Nacional de Informática (PNI) por meio da criação do Conselho Nacional de Informática (CONIN).
A partir daí começaram a surgir as primeiras legislações no sentido de proteger o bem jurídico informático e as relações no meio. A Lei nº 7.646/87, revogada por meio da Lei nº 9.609/98, versava sobre a proteção intelectual de programas de computadores e sua comercialização no país, tipificando como crime suas violações.
“Art. 35. Violar direitos de autor de programas de computador:
Pena – Detenção, de 6 (seis) meses a 2 (dois) anos e multa.
Art. 37. Importar, expor, manter em depósito, para fins de comercialização, programas de computador de origem externa não cadastrados:
Pena – Detenção, de 1 (um) a 4 (quatro) anos e multa.”
Atualmente proteção da propriedade intelectual de programas de computador é dada por meio da Lei nº 9.609/98 que tipifica o crime de falsificação de programas de computador (pirataria).
“Art. 12. Violar direitos de autor de programa de computador:
Pena – Detenção de seis meses a dois anos ou multa.”
Existem também algumas legislações especiais que coíbem crimes cibernéticos impróprios, um dos exemplos é o Estatuto da Criança e do Adolescente (Lei nº 8.069/1990), que na atualização de 2008, tipificou como crime a distribuição e até o mero armazenamento de fotos de sexo explícito ou pornografia envolvendo criança e adolescente.
“Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente:
Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa.
§ 1o Nas mesmas penas incorre quem:
I – assegura os meios ou serviços para o armazenamento das fotografias, cenas ou imagens de que trata o caput deste artigo;
II – assegura, por qualquer meio, o acesso por rede de computadores às fotografias, cenas ou imagens de que trata o caput deste artigo.
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente:
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.”
Já para os crimes cibernéticos próprios, um exemplo é a Lei nº 9983/00 que tipificou as condutas de inserção de dados falsos em sistemas de informações e de modificação ou alteração não autorizada de sistemas de informação, incluídos respectivamente nos artigos 313-A e 313-B do CP.
“Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano:
Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa.
Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente:
Pena – detenção, de 3 (três) meses a 2 (dois) anos, e multa.
Parágrafo único. As penas são aumentadas de um terço até a metade se da modificação ou alteração resulta dano para a Administração Pública ou para o administrado.’
Outro exemplo de lei que tipifica conduta classificada como própria é a Lei nº 9.296/96 que tipifica o crime de interceptação de comunicação informática
“Art. 10. Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei.
Pena: reclusão, de dois a quatro anos, e multa.”
Muitas condutas classificadas como próprias ainda estão pendentes de regulamentação, sendo essa ausência de legislação altamente gravosa, gerando a impunidade. Exemplos de condutas nocivas e ainda sem tipificação legal são o envio de spam[1], disseminação de vírus ou outros programas nocivos e defacement[2] de sites.
Portanto, o que se depreende do ordenamento jurídico brasileiro é que existe um conjunto de normas, esparsas e desconexas, que procuram tipificar os crimes cibernéticos. Não obstante, é necessário mais do que isso para se dar uma resposta energética sobre o assunto e efetivamente tutelar os bens da sociedade no mundo virtual.
Enquanto o Legislativo não empreender esforços para a criação de um código ou estatuto, como existente em países desenvolvidos, as condutas praticadas no meio virtual continuarão sendo regidas por meio de leis dispersas, sendo muitas vezes insuficiente para a persecutio criminis.
3 Lei 12.737/2012
O advento da Lei n° 12.737/2012 representou avanços no combate aos crimes cibernéticos a partir da criação de novos tipos incriminadores. Além disso, serviu de grande referência de debate após longos anos de inocuidade, como sendo a primeira lei brasileira criada exclusivamente para a tipificação de crimes cibernéticos.
A principal alteração da referida lei foi a inovação do ordenamento jurídico brasileiro por meio da tipificação de um novo tipo penal: a invasão de dispositivo informático, por meio da inclusão do Art. 154-A no Código Penal:
Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
É importante salientar que para a invasão ser considerada crime, deve esta ser feita sem autorização expressa ou tática do titular do dispositivo, e ainda que haja o interesse de obter, adulterar, destruir dados ou ainda instalar vulnerabilidades.
Antes do advento dessa legislação, não havia dispositivo legal que efetivamente tipificasse tal conduta como crime; não havia outra opção senão a impunidade. O crime de invasão de dispositivo informático pode causar prejuízos inestimáveis à vítima, pois sendo crime que atenta contra a liberdade individual e a privacidade, pode causar a exposição pessoal por meio do roubo de informações ou outros dados sigilosos.
Fato este que, curiosamente, deu nome popular à lei, apelidada de “Lei Carolina Dieckmann”. A invasão de um dispositivo informático da referida atriz, com posterior exposição de fotos íntimas, reacendeu o debate acerca dos crimes cibernéticos, criando um ambiente propício para a aprovação desta lei.
O artigo 154-A, em seu § 1º, também buscou equiparar ao sujeito que pratica o crime de invasão, aquele que comercializa, distribui, repassa ou difunde programa de computador com a mesma finalidade, incorrendo este na mesma pena.
Caso a invasão cause prejuízo econômico à vítima, ou seja cometida contra autoridade elencada no § 5, será sua pena agravada, como segue:
“§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I – Presidente da República, governadores e prefeitos;
II – Presidente do Supremo Tribunal Federal;
III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.”
Pena distinta, e agravada, também é aplicada no caso de crimes de invasão de dispositivo que decorram obtenção de conteúdo privado, sigiloso ou de segredo comercial, além do controle remoto não autorizado do dispositivo invadido, sendo agravada em caso de posterior comercialização ou divulgação de tais informações.
“§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.’
Via de regra, é crime de ação pública condicionada, exceto nos crimes cometidos contra patrimônio da administração pública direta ou indireta e a qualquer dos Poderes da União, Estados, Distrito Federal e Municípios, ou ainda a empresas concessionárias de serviço público; em tais casos, tornar-se-á de ação pública incondicionada (Art. 154-B).
Além do crime de invasão de dispositivo, a lei alterou o conceito de crime de interrupção de serviço para incluir os serviços de informática, telemática ou de informação de utilidade pública através da alteração do Art. 266 do CP, agravando-se a pena por meio de sua aplicação em dobro caso o crime seja praticado por ocasião de calamidade pública (§ 2º).
“§ 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.”
Os crimes de interrupção de serviço informático são práticas bastante comuns do dia a dia e são praticados por meio de ataques[3] que visam inutilizar ou reduzir a capacidade de um serviço disponibilizado na rede de computadores, e com isso causar transtornos e gerar prejuízos ao provedor e utilizadores deste serviço.
Sua tipificação foi bastante importante em razão desta prática ser bastante difundida na comunidade hacker, sendo possível ser realizada sem muitas dificuldades. Segundo o CERT.br[4], no ano de 2015 foram recebidas mais de 25 mil notificações deste tipo de ataque. Vale ressaltar, que antes desta lei, tal conduta não podia ser tipificada pelo ordenamento brasileiro, mesmo que dela resultasse grandes transtornos.
Por fim, alterou o crime de falsificação de documento particular (Art. 298 do CP) para incluir no rol destes documentos os cartões de crédito e débito.
A falsificação de cartões na internet, principalmente de crédito, é algo bem corriqueiro. As fraudes deste tipo pelo meio virtual são crescentes e os atacantes conseguem obter as informações do cartão de crédito, seja pela invasão de um dispositivo, pela interceptação de uma comunicação ou por meio da engenharia social[5], utilizando-as para realizar novas fraudes. A tipificação desta conduta foi de grande importância, pois estima-se que em 2013 o Brasil sofreu prejuízos da ordem de 2,3 bilhões de reais somente com fraudes pela internet, das quais, grande parte adveio de fraudes com cartões de crédito e débito[6].
O advento da Lei n° 12.737/2012, que, como visto, apenas emendou o Código Penal, significou a tipificação de novas condutas e atualização de outras existentes. O texto normativo não produziu grandes reformas no ordenamento jurídico, muito menos resolveu o problema enfrentado pelo Direito brasileiro sobre o tema.
Todavia, a referida lei conseguiu bons avanços ao tipificar condutas altamente gravosas à sociedade brasileira, além disso, pelo fato desta lei ter representado pela primeira vez a edição de um instrumento normativo voltado especificamente para a tutela do bem jurídico no mundo virtual, abriu espaço para que as discussões acerca do tema fossem impulsionadas.
CONCLUSÃO
Os crimes cibernéticos são um fenômeno jurídico recente, e por tal motivo o ordenamento jurídico brasileiro não o acompanhou, ocasionando perigosas lacunas legislativas que precisam ser sanadas urgentemente.
A legislação brasileira precisa de urgentes modificações. A criação de um código ou estatuto dos crimes cibernéticos, por meio de uma definição e taxatividade bem definidas é um caminho inevitável para a consecução desse objetivo.
A Lei n° 12.737/2012, por outro lado, representou um avanço bastante significativo na atualização dessa legislação, tipificando novas condutas. Representou ainda uma inovação no ordenamento jurídico como a primeira lei voltada exclusivamente para os crimes cibernéticos.
Entretanto, a referida lei não resolveu todos os problemas. Os debates sobre crimes cibernéticos, reacendidos por meio de sua edição, devem ser retomados em busca de uma solução eficaz.
A solução para o ordenamento jurídico brasileiro passa pela criação de comissões parlamentares que discutam sobre tema, assinatura de acordos internacionais sobre crimes cibernéticos e ainda a criação de um estatuto ou código voltado especificamente para tais condutas.
Tal tema exige um esforço coordenado do Legislativo brasileiro para que as condutas praticadas no meio sejam exaustivamente discutidas e, por fim, tipificadas por meio de uma legislação eficiente e bem definida.
Informações Sobre o Autor
Erick Teixeira Barreto
Servidor Público Federal. Graduado em Engenharia de Computação. Especialista em Engenharia de Sistemas