O Código Penal no Âmbito da Internet da Coisas: Desafios Diante das Novas Tecnologias

Autor:  Elikah de Santana e França Santhiago – Bacharel em Direito, Mestre em Banco de Dados, Especialista em Análise de Sistemas, Licenciatura em Matemática, Pós-graduanda em Ciências Criminais ([email protected])

Resumo: Diante do avançado desenvolvimento de novas tecnologias e de dispositivos informáticos e  digitais ligados a grande rede chamada internet, faz-se necessário estudar a abrangência do  ordenamento jurídico a essa nova realidade. É isso que se propõe a fazer este trabalho de  pesquisa ao analisar os efeitos da Lei Carolina Dieckmann e da inserção do artigo 154-A,  que trata de invasão de dispositivo informático, frente à Internet das Coisas. A pesquisa se  desenvolve analisando a importância da inserção desse artigo no Código Penal Brasileiro,  apresenta as principais características da ambiente voltado para a Internet das Coisas,  verifica se o termo invadir, tal como previsto na norma, abrange os crimes que podem  ocorrer nesse ambiente, apresenta as principais dificuldades encontradas para o  enquadramento dos crimes diante da nova realidade e, finalmente, através de método  dedutivo, se chega a conclusão de que muito ainda deve a matéria do Direito evoluir para  atender a esse novo ecossistema tecnológico que não para de se desenvolver e de trazer  novidades para as relações entre pessoas e seus vários dispositivos informáticos.

Palavras-chaves: Lei Carolina Dieckmann, novas tecnologias, IoT, Crimes cibernéticos.

 

Resumen: En vista del avanzado desarrollo de nuevas tecnologías y dispositivos informáticos y digitales conectados a una gran red denominada Internet, es necesario estudiar el alcance del ordenamiento jurídico a esta nueva realidad. Eso es lo que se propone hacer este trabajo de investigación al analizar los efectos de la Ley Carolina Dieckmann y la inserción del artículo 154-A, que trata de la invasión de un dispositivo informático, frente al Internet de las Cosas. La investigación se lleva a cabo analizando la importancia de insertar este artículo en el Código Penal brasileño, presentando las principales características del entorno al que se enfrenta Internet de las Cosas, verificando si el término invasión, según lo previsto en la norma, abarca los delitos que pueden ocurrir en ese entorno, presenta las principales dificultades encontradas para enmarcar los delitos frente a la nueva realidad y, finalmente, a través de un método deductivo, se llega a la conclusión de que aún queda mucho por evolucionar para dar respuesta a este nuevo ecosistema tecnológico que sigue desarrollándose. y aportar novedades a las relaciones entre las personas y sus diversos dispositivos informáticos.

Palabras clave: Ley Carolina Dieckmann, nuevas tecnologías, IoT, ciberdelito.

 

Sumário:  Introdução. 1. A importância da Lei Carolina Dieckmann para a evolução do Código Penal. 2. Internet das Coisas (IoT): Conceito e as principais características. 2.1 A Internet das Coisas e as novas possibilidades para cometimento de delitos em ambiente de novas tecnologias. 3. A nova dimensão do conceito de invasão e sua adaptabilidade para o ambiente voltado para a Internet das Coisas (IoT). 4. O enquadramento do tipo penal para a ação de invasão de dispositivo informático no ambiente da Internet da Coisas: principais dificuldades. Conclusão. Referências.

 

INTRODUÇÃO 

O objetivo desse trabalho de pesquisa é verificar em que medida o artigo 154-A do  Código Penal brasileiro se mostra suficiente para abranger os crimes que podem ser  cometidos com o uso da tecnologia voltada para a Internet Of Things (IoT), também  conhecida como Internet das Coisas em sua tradução para o português.

Com o avanço da tecnologia informática, cada vez mais são desenvolvidos  aplicativos e sistemas inteiros para facilitar a vida de milhares de cidadãos que hoje podem  executar várias atividades e comparecer a muitos compromissos profissionais e pessoais sem sair de casa. A vida fica cada vez mais prática, as respostas mais rápidas e a mente  fica mais livre para se envolver em atividades intelectuais cada vez mais sofisticadas. É a  tecnologia ocupando os espaços e trazendo cada vez mais novidades que levam mais e  mais pessoas a viverem conectadas.

Assim como essa evolução tecnológica traz diversos benefícios para a sociedade,  ela também requer um cuidado mais rigoroso com o item segurança. É preciso priorizar  esse aspecto para que dados sensíveis sobre estratégias militares, infraestruturas,  fornecimentos de água, energia e combustível dentre tantos outros não fiquem sujeitos a  ataques e violações. E mais, é preciso que os conceitos sejam revistos para que essa nova  realidade não deixe um vazio no ordenamento jurídico do nosso país.

O Direito é matéria que caminha acompanhando a sociedade, sempre tentando  emoldurar comportamentos de acordo com o entendimento jurídico do momento em que as  normas são criadas, segundo decisões tomadas em casos repetitivos. Mas ele não  acompanha o ritmo em que a tecnologia tem se desenvolvido fazendo com que a sociedade  de ontem precise de constantes mudanças no comportamento de toda uma geração. Muda  a tecnologia, muda a forma de executar as tarefas mais rotineiras e com elas, aprimoram-se  as formas de cometimento de delitos.

Depois de sofrer atualização, o Código Penal brasileiro evoluiu para enquadrar os  novos delitos cometidos através da internet, seja contra ou através de computadores.  Conhecida como Lei Carolina Dieckmann, ele foi criada para preencher uma lacuna  existente no Código Penal diante de delito que, através de acesso indevido, permitiu que a  atriz que deu nome à Lei, tivesse fotos íntimas violadas e usadas para extorquir dinheiro  que impediria a sua divulgação em ambiente de internet caso não fosse pago.

O caso chamou atenção da sociedade levando o legislativo a criar alterações no  Código Penal, uma vez que o caso foi enquadrado em outros tipos penais existentes tais  como furto, violação da intimidade e extorsão. Desta forma, surge a seguinte questão  norteadora da presente pesquisa: A inserção do artigo 154-A no Código Penal é suficiente  para enfrentar as ameaças advindas das novas tecnologias informáticas?

Para pesquisar um tema tão atual e ainda com poucas publicações sobre o assunto,  inicialmente será apresentado o caso concreto que deu origem à Lei Carolina Dieckmann,  lei que alterou o Código Penal ao prever crimes cometidos a partir de equipamentos informáticos ou através deles. Em seguida, será apresentado o conceito de Internet das  Coisas destacando-se suas principais características e riscos. A partir desse ponto,  apresenta-se as novas formas de cometimento de delito no ambiente de Internet das Coisas,  a nova dimensão do conceito de invasão e sua adaptabilidade para o ambiente voltado para  a Internet das Coisas e, finalmente, tenta-se fazer o enquadramento do tipo penal para a  invasão de dispositivo informático no ambiente da Internet das Coisas destacando a suas  principais dificuldades.

O trabalho será desenvolvido numa abordagem qualitativa, usando um método  dedutivo, com utilização de fontes documentais e bibliográficas.

 

1 A importância da Lei Carolina Dieckmann para a evolução do código penal 

A tecnologia informática está transformando o mundo em bits e bytes. Tudo o que  vemos através da tela de um computador são traduções de zeros e uns em algo  compreensível pela mente humana. O registro de todas as atividades da rotina diária ficou  mais fácil através de alguns dispositivos tais como smartphones, tablets, relógios e seus  milhares de aplicativos. Registra-se tudo, os diversos deslocamentos, os restaurantes  frequentados, os lugares preferidos, as músicas ouvidas, os vídeos assistidos, o estilo  preferido dos filmes, a bebida favorita. Tudo registrado em áudio, vídeo e foto.

 

Hoje em dia, o registro fotográfico se tornou algo tão básico que pode ser feito  usando qualquer aparelho celular, desde o mais simples até o mais sofisticado. Pode-se  compartilhar imagens dos próprios filhos com familiares e amigos, desde os seus  nascimentos, registrar e divulgar a passagem pela adolescência, a entrada na faculdade,  seus sucessos e fracassos pessoais e profissionais. Para PAESANI (2014, p. 43), “A privacidade  adquiriu novo significado e nova extensão e corresponde ao direito reconhecido ao  indivíduo de exercer o controle sobre o uso dos próprios dados pessoais inseridos num  arquivo eletrônico“.

 

Com tanta facilidade para usar a tecnologia disponível, houve um considerável  aumento do registro e publicação de aspectos íntimos e privados, e também de delitos  cometidos contra material armazenado em dispositivos informáticos.   Um caso de grande repercussão na mídia ocorreu em maio de 2011, quando a atriz  Carolina Dieckmann teve fotos íntimas divulgadas na internet após se negar a pagar 10 mil  reais a um cracker[1]  que telefonou informando que as tinha e exigindo esse valor para não  as divulgar. Eram fotos íntimas suas, inclusive nua, na intimidade de seu lar e fotos do seu  filho de apenas 4 anos de idade. O cracker havia obtido todo esse conteúdo instalando um  programa malicioso no computador da atriz após ela clicar em um link que havia recebido  em um e-mail.

O programa instalado sem autorização permitiu o acesso indevido ao  conteúdo armazenado em seu equipamento. O fato foi denunciado às autoridades.   Não tendo o Brasil, na época, nenhuma lei específica para crimes de informática, os  envolvidos foram indiciadas por furto, extorsão qualificada e difamação, todos crimes  tipificados no Código Penal Brasileiro.  O crime hoje é conhecido como phishing e consiste no envio de mensagens de spam contendo links para sites falsos que, geralmente, oferecem algum benefício para atrair as vítimas que por fim  baixam um programa malicioso no computador.

Esse caso levou à criação da Lei 12.737/2012 que, ainda em sua fase de preparação  no Congresso Nacional, tinha como objetivo dispor sobre a tipificação criminal de delitos  informáticos. Essa lei alterou o art. 154 do CP que tratava da violação de segredo  profissional acrescentando alguns artigos.

Além da invasão de dispositivos informáticos, foi tipificado o crime de uso de  dados de cartão de crédito e de débito, obtidos indevidamente ou sem autorização de seu  legítimo titular, e a criminalização da interrupção intencional do serviço de internet de  utilidade pública, através dos artigos 266 e 298 respectivamente, também inseridos no  Código Penal Brasileiro.

A redação original da proposta para a criação do art. 154-A tipificava o crime como  sendo devassar dispositivo informático da seguinte forma:

 

Art. 154-A. Devassar dispositivo informático alheio, conectado ou não a rede de  computadores, mediante violação indevida de mecanismo de segurança e com o fim  de obter, adulterar ou destruir dados ou informações sem autorização expressa ou  tácita do titular do dispositivo, instalar vulnerabilidades ou obter vantagem ilícita

 

A Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática  apresentou, após análise, sugestão de aprimoramento no núcleo do delito que passou a ser  invadir, em lugar de devassar, sob o argumento de que aquele termo seria mais adequado  às condutas que se pretendia incriminar. O caput desse artigo seguiu a tramitação com a  seguinte redação:

 

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não a rede de  computadores, mediante violação indevida de mecanismo de segurança e com o fim  de obter, adulterar ou destruir dados ou informações sem autorização expressa ou  tácita do titular do dispositivo ou instalar vulnerabilidades

 

Após a Comissão também sugerir a retirada do termo “ou obter vantagem ilícita” como  uma das finalidades sob o argumento de que a sua permanência esvaziaria os crimes de  furto (art. 155, CP) e de estelionato (art. 171, CP), quando cometidos através de dispositivo  informático, que passariam a ser punidos de forma mais branda e estariam sujeitos aos  Juizados Especiais Criminais.

 

Para GIOVANELI (2015. P. 103) , “a Lei nº 12.737/2012, assegurou maior proteção ao ambiente  virtual e físico no que se refere à proteção de dados e informações.”

 

Após sanção, o artigo ficou com o seguinte texto:

 

Invasão de dispositivo informático  

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à  rede de computadores, mediante violação indevida de mecanismo de segurança e  com o fim de obter, adulterar ou destruir dados ou informações sem autorização  expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter  vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

 

  • 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou  difunde dispositivo ou programa de computador com o intuito de permitir a prática  da conduta definida no caput.
  • 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta  prejuízo econômico.
  • 3º Se da invasão resultar a obtenção de conteúdo de comunicações  eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas,  assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não  constitui crime mais grave.

  • 4º Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver  divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados  ou informações obtidos.
  • 5º Aumenta-se a pena de um terço à metade se o crime for praticado  contra:

I – Presidente da República, governadores e prefeitos;

II – Presidente do Supremo Tribunal Federal;

III – Presidente da Câmara dos Deputados, do Senado Federal, de  Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de  Câmara Municipal; ou

IV – dirigente máximo da administração direta e indireta federal, estadual,  municipal ou do Distrito Federal.

Vários autores analisaram os efeitos que esta alteração no Código Penal traria para  o mundo jurídico e muitas críticas foram feitas com relação ao bem jurídico que estaria  sendo tutelado e a dificuldade que se teria para o enquadramento dos futuros delitos  informáticos. Uma dessas críticas foi escrita por KRETSCHMANN e WENDT (2018. P. 14), para os quais o delito de invasão de dispositivo informático “exige dolo específico do agente, em  obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do  titular do dispositivo”, pois havendo esta (autorização) “não há caracterização delitiva”.  Sem dolo não há crime.

 

Apesar das críticas, a Lei nº 12.737/2012, conhecida com Lei Carolina Dieckmann,  significou um marco na tipificação de crimes cibernéticos. Desde 2012, é possível  constatar o rápido desenvolvimento tecnológico na área de informática, daí porque se  questiona se a abrangência dos tipos penais identificados nessa lei enquadrará novas  modalidades de delitos que os criminosos estão prontos para cometerem fazendo uso das  novas tecnologias informáticas.

 

  1. Internet das Coisas  (IoT): Conceito e principais características  

Até recentemente, o conteúdo produzido para a internet visava sobretudo a  interação entre pessoas. Atualmente, a tecnologia permite conectar coisas com coisas  através da rede mundial de computadores, sem a necessidade expressa da interação  humana para decidir sobre quais informações devem ou não serem geradas ou  compartilhadas. As vantagens dessa nova situação tecnológica são muitas. Carros,  eletrodomésticos, relógios, smartphones, aparelhos médicos, sistema de gestão de  infraestrutura governamental, frotas inteiras de veículos, sistema de transportes,  residências, empresas, prédios. A Internet of Things (IoT) – ou Internet das Coisas (IoC)  em português, – aparenta ser uma realidade irreversível.

No futuro, todos os objetos físicos terão um endereço IP  ( internet protocol)  é um número que identifica unicamente cada  dispositivo conectado à rede mundial de computadores. e se transformarão em  tecnologias da informação. É como se cada objeto pudesse transmitir informações tais  como: onde foi fabricado, o nome das pessoas que o construíram, em que dia e a que horas  ele saiu da linha de montagem, qual a placa do caminhão que o transportou, em qual loja  varejista foi entregue assim como o nome e endereço de quem o adquiriu.

Mais que isso. A partir daí, no caso de uma geladeira, registrará os hábitos  alimentares da família, avisará quando for a hora de comprar novos ingredientes e poderá  até providenciar a encomenda dos produtos, o pedido e o pagamento mediante  fornecimento de dados financeiros previamente cadastrados. Ainda, se for desejo do seu  proprietário, poderá pedir que seja feita a entrega em endereço previamente cadastrado.  Em seguida, também será possível, através de mensagem, comunicar ao proprietário do  dispositivo quais os produtos que foram entregues e que aguardam o armazenamento.

Além disso, os dispositivos serão capazes de autogestão, armazenando informações  que interessam ao seu próprio funcionamento, tais como: quantas vezes a porta foi aberta,  por quanto tempo, se há necessidade de troca de alguma peça, ajustar seu consumo de  energia e, no final de sua vida útil, poderá até mesmo sugerir a reciclagem de determinadas  peças.

No mundo da IoT tudo será programável e interativo, mesmo sendo apenas entre  dispositivos. A tecnologia permitirá uma nova forma de conexão que possibilitará o  controle de qualquer objeto na Terra de forma remota.  Para GOODMAN (2015, p.243) “A IdC e seus bilhões de sensores criarão uma rede de inteligência integrada que pensa, percebe, sente e  contribui profundamente para o universo cognoscível.” Para que todas essas operações  sejam possíveis, as coisas que podem interagir na IoT devem ser, obviamente, dispositivos  eletrônicos com capacidade para executar programas informáticos fazendo parte de um  grande subsistema que se conectam a sistemas centrais.

Por fim, quando se fala em IoT, para efeito do Direito Penal, deve-se ter em mente  que o bem jurídico tutelado é a informação e que esta pode ser afetada em várias situações:  em um ataque ao hardware ou à nuvem no qual ela está armazenada ou em um ataque ao  software que a operacionaliza. Frisa-se que o bem jurídico tutelado é a própria  informação, esteja ela estática e armazenada ou em trânsito por milhares de computadores.

 

2.1 – A Internet das Coisas e as novas possibilidades para cometimento de delitos em ambiente de novas tecnologias 

Já se sabe que muitos delitos previstos no ordenamento jurídico também podem ser  cometidos pela internet. Furto, estelionato, calúnia, pornografia são exemplos de crimes  que podem ser praticados através da rede mundial de computadores. Nestes casos, a rede é  usada como um instrumento auxiliar na execução do delito. E é importante destacar que,  em geral, as características dos tipos penais levam em conta a conduta de seus agentes, seja  por ação ou por omissão, e não à forma como ela se deu.

 

Para KRETSCHMANN e WENDT (2018, p. 121)  “os delitos informáticos são basicamente  crimes de meio, ou seja, um crime praticado por meio, através do computador, em geral  com o uso da internet.” . Nesses casos, afirmam os autores, os crimes são classificados 9 como comuns, aplicando-se as mesmas penalidades, tendo como única diferença o meio  utilizado para praticar o delito: meio digital ou cibernético. Não há, atualmente, no  ordenamento jurídico brasileiro nenhum agravante em virtude da forma como o crime  cibernético foi cometido e sim, ao tipo de vítima contra a qual o crime foi aplicado.

 

Não se pode ignorar o fato que, pode-se cometer delitos contra a pessoa – tais como  injúria, calúnia ou difamação – pela internet, porém a extensão dos efeitos são bastante  amplos quando eles ocorrem através de redes sociais. Ataques às informações pessoais,  como se sabe, trazem como consequência a intranquilidade social na medida em que,  quando acessadas de forma ilícita, são usadas para ameaçar seu proprietário, para extorquir  ou para fraudar.

No caso de homicídios e de incitação ao suicídio, por exemplo, a situação tende a  se tornar mais grave, por exemplo, no caso hipotético de uma invasão à rede de informação  de um aeroporto que altere voos, cause pane elétrica em instrumentos aeronáuticos ou  induza multidões ao pânico.

 

Outras formas de homicídio, usando a tecnologia digital em cidades/ empreendimentos digitais, são citadas por KRETSCHMANN e WENDT (2018. p. 128) e são: “(a)  manipulação de sinais de trânsito, causando confusão e acidentes; (b) desligamento remoto  de elevadores, causando a queda e a morte de pessoas; e, (c) controle remoto de veículos e  acionamento abrupto dos freios.”

 

Um caso de grande repercussão divulgada pela mídia ocorreu no ano de 2019 com  a volta da presença de um personagem chamado Momo. Ele aparecia em vídeos infantis e  convidava crianças a participarem de jogos cujo objetivo era se ferirem e que tinham como  desafio final o suicídio. A revista Veja São Paulo, em seu site , descreveu como os jovens tinham acesso à “brincadeira”. Através do aplicativo de mensagens WhatsApp vindas de  um número estrangeiro, jovens eram incitados a cometerem suicídio. A imagem do boneco  aparecia em vídeos infantis, de temas como slime, junto “a uma voz que define objetos que  poderiam ser usados para cortar os pulsos”. Na época, a plataforma do aplicativo YouTube kids, cujos links eram compartilhados, negou que pudesse haver qualquer tipo de  produção dessa natureza devido ao rígido sistema de controle no qual os vídeos são  submetidos a fim de detectar a existência de conteúdo impróprio.

Na medida em que mais e mais produtos vão sendo conectados à rede, mais  informações pessoais vão sendo colhidas pelos fabricantes dos produtos tecnológicos a  pretexto de, conhecendo mais detalhes sobre os hábitos e costumes de seus clientes,  poderem oferecer soluções cada vez mais personalizadas, além de permitirem  aprimoramento constante dos próprios produtos. Para que essas informações sejam  coletadas, é bem provável que os dispositivos IoT sejam disponibilizados no mercado com  termos de serviços que concedam acesso aos seus respectivos fabricantes a todos os dados  gerados durante a sua utilização.

O que se verifica é que o que antes era tido como privado estará disponível para  pessoas desconhecidas. Nossos produtos fornecerão informação a terceiros sobre nossos  próprios hábitos que sequer poderemos imaginar. Com a queda do preço das novas  tecnologias para conexão, novos produtos de consumo serão desenvolvidos e, em breve, os  objetos serão controlados à distância com precisão.

 

Um dos dispositivos de baixo custo que pode ser incorporado à qualquer objeto  para torná-lo inteligente ou capaz de interagir com outros objetos é a RFID (RFID é abreviação de Radio Frequency Identification, ou seja, identificação por  rádio frequência). É a aplicação da onda de transmissão do velho rádio de pilhas. No lugar de  transmitir a voz, transmite dados que ficam gravados em um chip eletrônico posicionado dentro de  uma etiqueta). Por terem a espessura de uma folha de papel, muitas vezes no formato de etiqueta e do tamanho de  uma moeda, eles são capazes de realizar, como afirma GOODMAN (2015. P. 245): “em tempo real, a  troca constante de dados e podem ser lidos por scanners, alguns a uma distância de até cem  metros”. Esse dispositivo, embora bastante conveniente, é bastante vulnerável a hackers (hacker: é um indivíduo que se dedica, com intensidade 14 incomum, a conhecer e modificar os aspectos mais internos de dispositivos, programas e redes de  computadores) e pode facilmente ser falsificado e bloqueado. Infelizmente, toda essa vulnerabilidade não  passa despercebida pelos criminosos virtuais. Conforme observa o autor: ”As técnicas  para hackear a RFID são fáceis de imitar, e há centenas de sites e vídeos online que  explicam aos hackers exatamente como isso é feito.” É uma verdadeira universidade do  crime.

 

3. A nova dimensão do conceito de invasão e sua adaptabilidade para o ambiente voltado para a Internet das Coisas (IoT) 

Segundo o dicionário Michaelis online, invasão é um ato ou efeito de invadir. E o  sentido de invadir significa: “Entrar com força em; penetrar hostilmente em determinado  lugar; apoderar-se, conquistar, tomar”. Ou ainda, “Assumir indevidamente; assenhorear-se,  tomar, usurpar” . Observa-se que, segundo esse conceito, é necessário o uso de força para que uma situação seja caracterizada como invasão.

 

No ordenamento jurídico brasileiro, mais especificamente no Código Penal, ao  tipificar o crime de violação de domicílio tem-se, em seu artigo 150, o termo violar relacionado com “entrar ou permanecer, clandestina ou astuciosamente, ou contra a  vontade expressa ou tácita de quem de direito, em casa alheia ou em suas dependências”.   Rogério Greco (GRECO, 2016. P. 452), em seu Curso de Direito Penal, quando fala sobre o crime de  invasão de domicílio, entende que o núcleo entrar é empregado no sentido de invadir,  ultrapassar os limites da casa ou de suas dependências, além disso, destaca que a conduta  só será considerada violação de domicílio se o agente tiver realizado a ação de forma  clandestina ou astuciosamente, ou ainda, contra a vontade expressa ou tácita de quem de  direito . Mas também destaca que essas duas formas de violação, clandestina e astuciosamente, são modalidades de cometimento do tipo penal, uma vez que também são  típicas as formas de ingresso pelo uso da força ou de forma ostensiva.   No caso de violação de correspondência, descrito no art. 151, do Código Penal  Brasileiro, o núcleo utilizado pelo legislativo foi Devassar que significa, segundo GRECO (2016. P. 473),  “tomar conhecimento total ou parcialmente, expor a descoberto, tornar conhecido o  conteúdo de correspondência fechada, dirigida a outrem, não havendo necessidade de que a  correspondência seja aberta ou danificada.”

 

Para NUCCI (2017. P. 545-547), invadir significa violar, transgredir, entrar à força em algum lugar, 18 carregando o verbo, segundo ele, um forte conteúdo normativo. E mais: não basta ao  agente simplesmente entrar no dispositivo informático alheio, uma vez que isso pode  ocorrer por mero acidente, é preciso que ele ocupe um espaço não permitido.

 

No mesmo texto, NUCCI (2017, P. 546) também destaca que dispositivo informático é qualquer mecanismo apto a concentrar informação por meio de computador ou  equipamento similar. Também apresenta uma lista de dispositivos considerados  informáticos: computador de mesa, notebook, tablet, laptop, bem como smartphones, que  hoje são verdadeiros minicomputadores, incluindo nessa lista qualquer outro tipo de  equipamento que possa surgir com idêntica finalidade. Ele destaca a ideia de que o  propósito (objetivo) deve ser obter qualquer vantagem ilícita, tornando o dispositivo  acessível à violação.

 

O artigo 5º da Constituição Federal , inciso X, ao determinar que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, proíbe que pessoas obtenham  informações sobre a vida de outras sem que tenham sido autorizadas e que quando ocorrer  algum tipo de acesso desautorizado (violação) seja assegurado o direito de requerer  indenização pelo dano material ou moral decorrente dessa violação.

A Constituição também garante a inviolabilidade da casa, da correspondência e das  comunicações telegráficas, de dados e telefônicas, salvo por ordem judicial em casos de  investigação criminal ou instrução processual penal.

Ao analisar cada um desses entendimentos sobre o núcleo do tipo penal do artigo  154-A, faz-se necessário investigar o próprio conceito do que se denomina como  dispositivo informático, notadamente aqueles que tem inserido a tecnologia da IoT, tais  como: objetos de uso doméstico, pessoal e profissional. Tal investigação ganha relevância  maior quando se coteja a vulnerabilidade da tecnologia RFID, que pode estar inserida na  IoT. Além de se buscar uma conceituação sobre os chamados dispositivos informáticos,  levando em conta se os mesmos teriam algum tipo de autonomia para geração de dados  informáticos sem a necessidade de interação humana, é necessário entender como a  legislação penal vigente pode abranger a comunicação entre softwares que interpretam,  podendo mesmo transformar, as mesmas informações.

A rigor, o que se pretende analisar é se a atual redação do artigo 154-A abarca todas  as possibilidades frente ao desenvolvimento da tecnologia IoT, e suas possíveis  vulnerabilidades. Um exemplo de uma situação possível dentro desse sistema é a de um  fabricante de um equipamento que, tendo autorização do usuário para acessar o dispositivo  e para instalar atualizações, produza uma falha em um programa com vulnerabilidades que  permita que criminosos o acessem remotamente sem o conhecimento do proprietário do  dispositivo. Faz-se necessária uma verificação se essa situação pode ser enquadrada no  referido dispositivo legal. Questões concernentes a soluções tecnológicas e legais  merecem um estudo aprofundado. É o que se pretende tratar no próximo tópico.

 

4. O enquadramento do tipo penal para a ação de invasão de dispositivo informático no ambiente da internet das coisas: principais dificuldades 

Ao elaborar este trabalho, é forçoso reconhecer a escassez de fontes teóricas que  reflitam sobre a conceituação das novas tecnologias que, constata-se, avançam pari passu com novos desafios. Muito há ainda a se definir para uma conceituação jurídica mais  abrangente e atualizada da chamada internet das coisas (IoT). Assim, através da pesquisa  de fontes pertinentes, buscou-se fundamentos sólidos para se entender como a nova  tecnologia pode estar contemplada frente à legislação em vigor.

Para analisar o caput do artigo 154-A, que trata da invasão de dispositivos  informáticos, frente à Internet das coisas, foi necessário separar seu conteúdo em pequenas  partes ou trechos a fim de encontrar o significado de cada termo tendo em vista esse novo  universo. Buscou-se, assim, uma interpretação que permitisse que a moldura definida por  esse artigo pudesse ser utilizada de forma efetiva na IoT.

Inicialmente, observa-se o seguinte trecho: Invadir dispositivo informático  alheio, conectado ou não à rede de computadores. Com relação ao significado do termo  invadir, como destacado anteriormente, sua execução pressupõe o uso da força e o  rompimento de algum obstáculo que impede o acesso direto. No entanto, essa definição  não apresenta um sentido claro no meio informático porque se sabe que se pode obter o  conteúdo armazenado em um dispositivo informático de diversas formas, inclusive  aproveitando um acesso aberto pelo próprio dono da informação quando visitou algum link  malicioso. É como se o proprietário de um veículo tivesse seu veículo furtado porque  deixou a janela aberta e que isso pudesse justificar a prática do delito.

 

Alguns estudos, tal como o de SYDOW (2015) já discutem a responsabilidade do usuário que contribui para a ocorrência do delito. Em uma situação como essa, percebe-se que não  seria um caso de invasão, já que não houve nenhum tipo de uso de força ou rompimento de  mecanismo de segurança, como prevê a norma em destaque. Essa mesma ideia é  defendida por PINHEIRO (2016.  P. 382) ao afirmar que “grande parte da responsabilidade pelo crescimento dos crimes virtuais se deve à conduta displicente de muitos usuários”.

 

Então, ao usar o termo invadir, e com isso supor um rompimento de algum  mecanismo de segurança, tal como uma senha, o legislador deixou de considerar situações  em que o usuário permite o acesso de forma tácita ou involuntária, seja devido à instalação  de um programa não autorizado ou malicioso que ele acessou através de um link, seja  porque ele deixou o dispositivo desprotegido, seja porque ele disponibilizou sua senha para  um terceiro, tal como acontece, por exemplo, quando o usuário autoriza um fornecedor de  software para que este possa instalar atualizações remotamente ou quando entrega seu  computador para manutenção sem qualquer garantia. Nesses casos, o delito seria obter  informações sigilosas pessoais sem autorização prévia do seu proprietário já que seu acesso  estaria livre de qualquer bloqueio, o que não pode ser interpretado como uma autorização  tácita.

Ainda analisando o trecho em destaque, observa-se a referência a “dispositivo  informático alheio”. Obviamente, não há invasão quando o próprio dono do equipamento  explora o seu conteúdo. Portanto, o texto legal apenas reforça uma ideia que é  dispensável.

 

No final do trecho do texto legal destacado encontra-se a condição de que o  dispositivo pode ou não estar conectado à rede de computadores, o que garante que o tipo  penal abarque toda e qualquer violação em dispositivos informáticos. É o que também  afirma PAESANI (2014. P. 68) ao escrever que “as redes podem ser vir de plataforma para atividades que abrangem largo espectro social, estendendo-se seus efeitos inclusive a pessoas que não  usam computadores e rede”.

 

Assim, quando o dispositivo informático está fora da rede, se for acoplado um  equipamento com programas que quebrem a segurança diretamente em um desses  dispositivos, o tipo pode ser aplicado. No ambiente da IoT, não há o que falar em  equipamento fora da rede já que os acessos indevidos ocorrem remotamente, e por ser essa  uma das suas características principais.

 

Se a ação delituosa consiste em “invadir”, a ausência de qualquer mecanismo de  segurança, tal como senha, já tornaria a situação atípica, não sendo possível a aplicação da  norma. Então, o trecho seguinte que determina que a invasão seja “mediante violação  indevida de mecanismo de segurança” não enquadra quando ela ocorrer em  equipamentos ou sistemas onde não há senha. Também não poderá enquadrar como  violação a situação em que o usuário permite o acesso a terceiros ao emprestar seu  equipamento ou se houver instalação de fragilidades durante assistência técnica nem  tampouco quando forem instaladas vulnerabilidades em virtude do acesso a sites  maliciosos ainda que haja destruição, cópia, adulteração ou divulgação indevida de  informações. Para PINHEIRO (2016.  P. 382), “as senhas são a assinatura eletrônica dos Indivíduos na  rede, decifrá-las significa aprender a falsificar uma assinatura” o que tornaria legítimo o  seu uso, como se o próprio usuário tivesse realizado a ação ou omissão.

 

Antes de seguir para a análise do próximo trecho do texto legal, faz-se mister  discorrer sobre a definição dos dispositivos informáticos na IoT. Na lista de dispositivos  apresentada por NUCCI (2017. P. 545-547) observa-se uma característica comum a todos eles: são todos equipamentos que foram desenvolvidos para terem capacidade de processamento. No  entanto, as coisas conectadas através da IoT incluem aparelhos domésticos, máquinas  industriais ou comerciais que coletam informações que, em geral, ficam armazenadas em  nuvem e depois são enviadas para serem interpretadas por softwares inteligentes. As  coisas conectadas na IoT não têm, necessariamente, processamento e não são  programáveis.

 

O trecho seguinte da norma se refere a um aspecto subjetivo, relacionando-se com a  intenção do invasor do dispositivo informático: e com o fim de obter, adulterar ou  destruir dados ou informações. Observa-se que o legislador buscou justificar a invasão  de acordo com a intenção que o agente teve ao acessar conteúdo do dispositivo, como se a  própria invasão já não devesse ser punida, e que apenas o resultado pudesse tipificar a ação  delitiva. Ora, se o agente obtiver a informação e não divulgar, não há como a vítima saber.  A invasão em dispositivos informáticos não deixa vestígios físicos portanto, se o acesso foi  remoto e apenas barreiras de software foram exploradas e vencidas, não há como saber que  ela aconteceu. Nessa invasão, o agente pode ter obtido segredos industriais, pode ter tido  acesso a assuntos de segurança nacional, pode ter adulterado o funcionamento de uma  usina nuclear e, com isso, provocado um acidente fatal, e mais, pode ter destruído o  dispositivo e não apenas seus dados e informações. Neste caso, pode não ser apenas uma  questão de dano patrimonial.

Uma outra questão a ser considerada na IoT decorre da situação hipotética em que  um fabricante, ao instalar uma nova versão do seu aplicativo, tem acesso a dados sigilosos  e os copia para alguma nuvem a fim de os recuperar posteriormente e os reinstalar. A  intenção inicial, nessa situação, não é violar dispositivo e nem acessar essas informações.  Porém, ao explorar uma falha na segurança desse armazenamento em nuvem, um  criminoso pode acessar a rede do fornecedor e conseguir acesso aos dados armazenados  nessa nuvem. Nessa situação, a violação foi executada por um terceiro não autorizado que  pode estar em qualquer lugar no mundo, inclusive em um Estado que não tenha ainda  normas que penalizem esse tipo de comportamento. Percebe-se, a partir daí, uma  dificuldade para aplicar a norma, primeiro porque o crime não ocorreu em território  brasileiro e segundo porque, nesse caso, faz-se necessário expandir o conceito de  dispositivos informáticos a fim de que a nuvem seja considerada como tal e não apenas que  seja visto apenas como um repositório de dados.

O trecho seguinte do caput da norma determina que, para configuração do crime,  deve haver autorização expressa ou tácita do titular do dispositivo. Da primeira  afirmação se observa que não há crime quando o acesso ao conteúdo do dispositivo foi  autorizado, ainda que tenha havido uso de senha ou mecanismo de segurança. Não se pode  falar que tenha havido, nesse caso hipotético, uma invasão em dispositivo informático  alheio mediante violação indevida de mecanismo de segurança. Não há, portanto,  enquadramento legal.

Por outro lado, se o usuário foi negligente acessando links que imaginava ser  seguro e que permitiram o acesso indevido aos seus dados e informações sigilosas pessoais  ou profissionais, há que se analisar em que medida ele teria algum tipo de responsabilidade  no cometimento do delito. O proprietário das informações não autorizou o acesso e nem  divulgação, porém, teve um comportamento que permitiu a invasão.

Em seu último trecho, o legislador incluiu um outro aspecto subjetivo que trata da  intenção do agente em instalar vulnerabilidades para obter vantagem ilícita. Pode  acontecer de um fornecedor de aplicativo instalar vulnerabilidades sem que tenha  conhecimento, pelo fato de não ter tratado a questão de segurança com rigor. Nesse caso,  tendo recebida autorização expressa do proprietário do dispositivo para instalar aplicativo  ou realizar atualização se sistemas ou de programas, não se pode configurar esse fato como  estando tipificado pela norma, uma vez que não terá ocorrido invasão de dispositivo  informático de terceiros, como previsto no artigo, nem tampouco a intenção de instalar  vulnerabilidades.

 

Percebe-se que faz-se necessário a definição de rigorosos padrões mínimos de  segurança para desenvolvimento de aplicativos, assim como a divulgação de orientações  aos usuários para que evitem comportamentos que facilitam o cometimento de crimes. E  na medida em que a tecnologia avança, faz-se necessária uma constante atualização  tecnológica para todos os operadores do Direito: advogados, juízes, promotores, delegados,  defensores, investigadores e todos os que participam do processo. Uma mudança de  postura se faz necessária, segundo PINHEIRO (2016, p. 384), “ para que possamos ter uma sociedade  digital segura; caso contrário, coloca-se em risco o próprio ordenamento jurídico”.

 

Já prevendo uma grande quantidade de dados e informações coletadas dos diversos  dispositivos, a indústria tem buscado aumentar cada vez mais a capacidade de  armazenamento dos equipamentos. O conceito de nuvem representa uma virtualização  desse armazenamento na medida em que a localização física dos equipamentos não precisa  ser conhecida pelos seus usuários. Uma invasão a um dispositivo pode permitir o acesso  remoto a toda e qualquer informação do usuário, independente de sua autorização ou  conhecimento. Fala-se aqui de área virtual de dados do usuário sem que tenha havido  qualquer acesso a uma dispositivo físico, apenas ao link de sua conexão.

Por se tratar de uma tecnologia da informação, o ecossistema tecnológico  conhecido como Internet das coisas, IoT, está vulnerável às mesmas ameaças cibernéticas  que ameaçam a tecnologia da informação: ameaças às informações confidenciais, à  integridade dos dados, violação e acesso e a cada nova evolução tecnológica, ao  cometimento de novas formas de extorsão, violação, furto, adulteração, exclusão,  divulgação indevida e até homicídios e atentados terroristas.

 

CONCLUSÃO 

Com o desenvolvimento de novas tecnologias, faz-se necessário um novo olhar  para o cometimento de delitos, não só com relação aos que já estão previstos, como  também para as novas possibilidades de uso indevido de aplicações, dados e informações  sigilosas e pessoais. Há um novo ecossistema tecnológico chamado Internet das coisas  (IoT) onde máquinas passam a ter inteligência e a interagir com humanos e com outras  máquinas.

Nesse novo ambiente tecnológico, as legislações nacional e internacional devem ser  aplicadas de forma a prever os riscos para a segurança e para a defesa da IoT ligada ao  consumo, ao comércio e à indústria pois ao não proteger os usuários, seus aplicativos, seus  sistemas e seus equipamentos, as normas já se apresentarão inadequadas para a nova  realidade.

O código penal brasileiro, a partir de um caso concreto ocorrido com a atriz  Carolina Dieckmann, sofreu atualização com a introdução do artigo 154-A que trata de  enquadrar os crimes cometidos através de invasão de dispositivos informáticos.   Antes de verificar se a inserção do artigo 154-A no Código Penal é suficiente para  enfrentar as ameaças advindas das novas tecnologias informáticas, discorreu-se sobre a  Internet das Coisas destacando-se suas principais características para que o leitor  compreenda a dimensão desse ecossistema tecnológico onde coisas interagem com outras  coisas e com pessoas. A IoT, como visto, permite o armazenamento de milhares de  informações pessoais tais como hábitos alimentares, de lazer, lugares frequentados, lojas  preferidas, gostos musicais, dentre tantas outras informações que hoje sequer se consegue  imaginar. Em seguida, optou-se por analisar o caput da norma separando seus comandos em sub-partes e verificou-se ser ela insuficiente para enquadrar todas as modalidades de  delitos que esse novo ambiente traz para a sociedade.

Neste trabalho de pesquisa, ao analisar a descrição do tipo penal, observou-se que  já existem diversas situações não enquadradas por ele, uma vez que o termo invadir  pressupõe o uso de força ou rompimento de algum obstáculo, seja físico ou virtual, como  senha. Não só através de invasão como descreve o texto legal, no ambiente da IoT o  acesso indevido também pode ocorrer pelo uso de senha obtida através de programa  instalado no dispositivo do proprietário depois de se usar meio ardil que o fez acessar link  malicioso. Nesse caso, seria como se a vítima abrisse a porta de casa para o criminoso  entrar, embora esse não fosse o seu desejo. Outra forma de acesso sem invasão nem  rompimento de mecanismo de segurança é possível quando o acesso se dá através de senha  fornecida pelo próprio dono do dispositivo, seja em um ambiente de assistência técnica,  seja para um fornecedor instalar atualizações de programas, seja para um amigo ou parente  acessar seu dispositivo por algumas horas. Também se pode obter dados e informações  acessando a nuvem na qual eles estão armazenadas. Isso significa acessar servidores de  armazenamento instalados em outros países cuja norma interna não abrange, ou seja,  interpretando de uma forma mais extensiva, pode-se entender que ao transferir seus dados  para a nuvem, o proprietário estaria retirando as informações de seu dispositivo e passando  para terceiros o cuidado com a segurança de suas informações pessoais e sigilosas.

E ainda, se a obtenção, adulteração ou destruição ocorrer sem violação de  mecanismo de segurança o normativo não pune qualquer ação que sobre os dados ou  informações que estiverem disponíveis possa ser tomada. Também se observa que, se a  obtenção dos dados ou informações ocorreu fazendo uso da senha do seu proprietário,  portanto, sem ter ocorrido uma invasão do dispositivo, a lei não criminaliza esse ato e nem  uma futura venda dessas informações ou dados Também não prever enquadramento se for  instalada alguma vulnerabilidade que permita um futuro acesso remoto.

O fato é que, enquanto se espera que o ordenamento jurídico e a doutrina avalie as  normas quanto à sua interpretação dentro do ambiente de IoT, a tecnologia continua  avançando e hoje alguns fabricantes já falam no desenvolvimento de um novo conceito: o  da Internet Of Everything (IoE), um conceito muito mais abrangente cujo objetivo será a  interligação de pessoas, processos, dados e coisas em uma grande rede.

 

REFERÊNCIAS  

BRASIL. Código Penal: disponível em: http://www.planalto.gov.br/ccivil_03/ _Ato2011-2014/2012/Lei/L12737.htm#art2. Acessado em 17/09/2019.

 

BRASIL. Constituição Federal do Brasil – disponível em http://www.planalto.gov.br/ ccivil_03/Constituicao/Constituicao.htm. Acessado em 19/09/2019.

 

Dicionário Michaelis online. Disponível em: http://michaelis.uol.com.br/busca? r=0&f=0&t=0&palavra=Invadir. Acessado em 14/09/2019.

 

GIOVANELI, Flaviano Wolf. COMENTÁRIOS À LEI Nº 12.737/2012 IN Direito das Novas  Tecnologias. Legislação Eletrônica Comentada, Mobile Law e Segurança Digital. São Paulo:  Editora Revista dos Tribunais, 2015.

 

GOODMAN, Marc. Future Crimes. Tudo está conectado, todos somos vulneráveis e o que  podemos fazer sobre isso. São Paulo: HSM Editora, 2015.

 

GRECO, Rogério. Curso de Direito Penal: parte especial, Volume II: introdução à teoria geral da  parte especial: crimes contra a pessoa, 13a ed. Niterói, RJ: Imperus, 2016.

 

KRETSCHMANN, Ângela; WENDT, Emerson. Tecnologia da informação & Direito. Porto  Alegre: Livraria do Advogado, 2018.

 

NUCCI, Guilherme de Souza. Código penal comentado / Guilherme de Souza Nucci. – 17. ed.  rev., atual. e ampl. – Rio de Janeiro: Forense, 2017.

 

PAESANI, Liliana Minardi. Direito e Internet: Liberdade de informação, privacidade e  responsabilidade civil. 7ª Ed. São Paulo : Atlas, 2014.

 

PINHEIRO, Patrícia Peck. Direito Digital. 6ª Ed. Rev. Atual. E ampl. São Paulo: Saraiva, 2016.

 

SYDOW, Spencer Toth. Crimes informáticos e suas vítimas. 2ª Ed. São Paulo : Saraiva, 2015.  (Coleção saberes monográficos – coord. Alice Bianchini e Luiz Flávio Gomes).

 

[1] o termo cracker é o usado para designar quem pratica a quebra (ou  cracking) de um sistema de segurança

logo Âmbito Jurídico