Autor: Elikah de Santana e França Santhiago – Bacharel em Direito, Mestre em Banco de Dados, Especialista em Análise de Sistemas, Licenciatura em Matemática, Pós-graduanda em Ciências Criminais ([email protected])
Resumo: Diante do avançado desenvolvimento de novas tecnologias e de dispositivos informáticos e digitais ligados a grande rede chamada internet, faz-se necessário estudar a abrangência do ordenamento jurídico a essa nova realidade. É isso que se propõe a fazer este trabalho de pesquisa ao analisar os efeitos da Lei Carolina Dieckmann e da inserção do artigo 154-A, que trata de invasão de dispositivo informático, frente à Internet das Coisas. A pesquisa se desenvolve analisando a importância da inserção desse artigo no Código Penal Brasileiro, apresenta as principais características da ambiente voltado para a Internet das Coisas, verifica se o termo invadir, tal como previsto na norma, abrange os crimes que podem ocorrer nesse ambiente, apresenta as principais dificuldades encontradas para o enquadramento dos crimes diante da nova realidade e, finalmente, através de método dedutivo, se chega a conclusão de que muito ainda deve a matéria do Direito evoluir para atender a esse novo ecossistema tecnológico que não para de se desenvolver e de trazer novidades para as relações entre pessoas e seus vários dispositivos informáticos.
Palavras-chaves: Lei Carolina Dieckmann, novas tecnologias, IoT, Crimes cibernéticos.
Resumen: En vista del avanzado desarrollo de nuevas tecnologías y dispositivos informáticos y digitales conectados a una gran red denominada Internet, es necesario estudiar el alcance del ordenamiento jurídico a esta nueva realidad. Eso es lo que se propone hacer este trabajo de investigación al analizar los efectos de la Ley Carolina Dieckmann y la inserción del artículo 154-A, que trata de la invasión de un dispositivo informático, frente al Internet de las Cosas. La investigación se lleva a cabo analizando la importancia de insertar este artículo en el Código Penal brasileño, presentando las principales características del entorno al que se enfrenta Internet de las Cosas, verificando si el término invasión, según lo previsto en la norma, abarca los delitos que pueden ocurrir en ese entorno, presenta las principales dificultades encontradas para enmarcar los delitos frente a la nueva realidad y, finalmente, a través de un método deductivo, se llega a la conclusión de que aún queda mucho por evolucionar para dar respuesta a este nuevo ecosistema tecnológico que sigue desarrollándose. y aportar novedades a las relaciones entre las personas y sus diversos dispositivos informáticos.
Palabras clave: Ley Carolina Dieckmann, nuevas tecnologías, IoT, ciberdelito.
Sumário: Introdução. 1. A importância da Lei Carolina Dieckmann para a evolução do Código Penal. 2. Internet das Coisas (IoT): Conceito e as principais características. 2.1 A Internet das Coisas e as novas possibilidades para cometimento de delitos em ambiente de novas tecnologias. 3. A nova dimensão do conceito de invasão e sua adaptabilidade para o ambiente voltado para a Internet das Coisas (IoT). 4. O enquadramento do tipo penal para a ação de invasão de dispositivo informático no ambiente da Internet da Coisas: principais dificuldades. Conclusão. Referências.
INTRODUÇÃO
O objetivo desse trabalho de pesquisa é verificar em que medida o artigo 154-A do Código Penal brasileiro se mostra suficiente para abranger os crimes que podem ser cometidos com o uso da tecnologia voltada para a Internet Of Things (IoT), também conhecida como Internet das Coisas em sua tradução para o português.
Com o avanço da tecnologia informática, cada vez mais são desenvolvidos aplicativos e sistemas inteiros para facilitar a vida de milhares de cidadãos que hoje podem executar várias atividades e comparecer a muitos compromissos profissionais e pessoais sem sair de casa. A vida fica cada vez mais prática, as respostas mais rápidas e a mente fica mais livre para se envolver em atividades intelectuais cada vez mais sofisticadas. É a tecnologia ocupando os espaços e trazendo cada vez mais novidades que levam mais e mais pessoas a viverem conectadas.
Assim como essa evolução tecnológica traz diversos benefícios para a sociedade, ela também requer um cuidado mais rigoroso com o item segurança. É preciso priorizar esse aspecto para que dados sensíveis sobre estratégias militares, infraestruturas, fornecimentos de água, energia e combustível dentre tantos outros não fiquem sujeitos a ataques e violações. E mais, é preciso que os conceitos sejam revistos para que essa nova realidade não deixe um vazio no ordenamento jurídico do nosso país.
O Direito é matéria que caminha acompanhando a sociedade, sempre tentando emoldurar comportamentos de acordo com o entendimento jurídico do momento em que as normas são criadas, segundo decisões tomadas em casos repetitivos. Mas ele não acompanha o ritmo em que a tecnologia tem se desenvolvido fazendo com que a sociedade de ontem precise de constantes mudanças no comportamento de toda uma geração. Muda a tecnologia, muda a forma de executar as tarefas mais rotineiras e com elas, aprimoram-se as formas de cometimento de delitos.
Depois de sofrer atualização, o Código Penal brasileiro evoluiu para enquadrar os novos delitos cometidos através da internet, seja contra ou através de computadores. Conhecida como Lei Carolina Dieckmann, ele foi criada para preencher uma lacuna existente no Código Penal diante de delito que, através de acesso indevido, permitiu que a atriz que deu nome à Lei, tivesse fotos íntimas violadas e usadas para extorquir dinheiro que impediria a sua divulgação em ambiente de internet caso não fosse pago.
O caso chamou atenção da sociedade levando o legislativo a criar alterações no Código Penal, uma vez que o caso foi enquadrado em outros tipos penais existentes tais como furto, violação da intimidade e extorsão. Desta forma, surge a seguinte questão norteadora da presente pesquisa: A inserção do artigo 154-A no Código Penal é suficiente para enfrentar as ameaças advindas das novas tecnologias informáticas?
Para pesquisar um tema tão atual e ainda com poucas publicações sobre o assunto, inicialmente será apresentado o caso concreto que deu origem à Lei Carolina Dieckmann, lei que alterou o Código Penal ao prever crimes cometidos a partir de equipamentos informáticos ou através deles. Em seguida, será apresentado o conceito de Internet das Coisas destacando-se suas principais características e riscos. A partir desse ponto, apresenta-se as novas formas de cometimento de delito no ambiente de Internet das Coisas, a nova dimensão do conceito de invasão e sua adaptabilidade para o ambiente voltado para a Internet das Coisas e, finalmente, tenta-se fazer o enquadramento do tipo penal para a invasão de dispositivo informático no ambiente da Internet das Coisas destacando a suas principais dificuldades.
O trabalho será desenvolvido numa abordagem qualitativa, usando um método dedutivo, com utilização de fontes documentais e bibliográficas.
1 A importância da Lei Carolina Dieckmann para a evolução do código penal
A tecnologia informática está transformando o mundo em bits e bytes. Tudo o que vemos através da tela de um computador são traduções de zeros e uns em algo compreensível pela mente humana. O registro de todas as atividades da rotina diária ficou mais fácil através de alguns dispositivos tais como smartphones, tablets, relógios e seus milhares de aplicativos. Registra-se tudo, os diversos deslocamentos, os restaurantes frequentados, os lugares preferidos, as músicas ouvidas, os vídeos assistidos, o estilo preferido dos filmes, a bebida favorita. Tudo registrado em áudio, vídeo e foto.
Hoje em dia, o registro fotográfico se tornou algo tão básico que pode ser feito usando qualquer aparelho celular, desde o mais simples até o mais sofisticado. Pode-se compartilhar imagens dos próprios filhos com familiares e amigos, desde os seus nascimentos, registrar e divulgar a passagem pela adolescência, a entrada na faculdade, seus sucessos e fracassos pessoais e profissionais. Para PAESANI (2014, p. 43), “A privacidade adquiriu novo significado e nova extensão e corresponde ao direito reconhecido ao indivíduo de exercer o controle sobre o uso dos próprios dados pessoais inseridos num arquivo eletrônico“.
Com tanta facilidade para usar a tecnologia disponível, houve um considerável aumento do registro e publicação de aspectos íntimos e privados, e também de delitos cometidos contra material armazenado em dispositivos informáticos. Um caso de grande repercussão na mídia ocorreu em maio de 2011, quando a atriz Carolina Dieckmann teve fotos íntimas divulgadas na internet após se negar a pagar 10 mil reais a um cracker[1] que telefonou informando que as tinha e exigindo esse valor para não as divulgar. Eram fotos íntimas suas, inclusive nua, na intimidade de seu lar e fotos do seu filho de apenas 4 anos de idade. O cracker havia obtido todo esse conteúdo instalando um programa malicioso no computador da atriz após ela clicar em um link que havia recebido em um e-mail.
O programa instalado sem autorização permitiu o acesso indevido ao conteúdo armazenado em seu equipamento. O fato foi denunciado às autoridades. Não tendo o Brasil, na época, nenhuma lei específica para crimes de informática, os envolvidos foram indiciadas por furto, extorsão qualificada e difamação, todos crimes tipificados no Código Penal Brasileiro. O crime hoje é conhecido como phishing e consiste no envio de mensagens de spam contendo links para sites falsos que, geralmente, oferecem algum benefício para atrair as vítimas que por fim baixam um programa malicioso no computador.
Esse caso levou à criação da Lei 12.737/2012 que, ainda em sua fase de preparação no Congresso Nacional, tinha como objetivo dispor sobre a tipificação criminal de delitos informáticos. Essa lei alterou o art. 154 do CP que tratava da violação de segredo profissional acrescentando alguns artigos.
Além da invasão de dispositivos informáticos, foi tipificado o crime de uso de dados de cartão de crédito e de débito, obtidos indevidamente ou sem autorização de seu legítimo titular, e a criminalização da interrupção intencional do serviço de internet de utilidade pública, através dos artigos 266 e 298 respectivamente, também inseridos no Código Penal Brasileiro.
A redação original da proposta para a criação do art. 154-A tipificava o crime como sendo devassar dispositivo informático da seguinte forma:
Art. 154-A. Devassar dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo, instalar vulnerabilidades ou obter vantagem ilícita
A Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática apresentou, após análise, sugestão de aprimoramento no núcleo do delito que passou a ser invadir, em lugar de devassar, sob o argumento de que aquele termo seria mais adequado às condutas que se pretendia incriminar. O caput desse artigo seguiu a tramitação com a seguinte redação:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades
Após a Comissão também sugerir a retirada do termo “ou obter vantagem ilícita” como uma das finalidades sob o argumento de que a sua permanência esvaziaria os crimes de furto (art. 155, CP) e de estelionato (art. 171, CP), quando cometidos através de dispositivo informático, que passariam a ser punidos de forma mais branda e estariam sujeitos aos Juizados Especiais Criminais.
Para GIOVANELI (2015. P. 103) , “a Lei nº 12.737/2012, assegurou maior proteção ao ambiente virtual e físico no que se refere à proteção de dados e informações.”
Após sanção, o artigo ficou com o seguinte texto:
Invasão de dispositivo informático
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
- 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
- 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
- 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
- 4º Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
- 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I – Presidente da República, governadores e prefeitos;
II – Presidente do Supremo Tribunal Federal;
III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.
Vários autores analisaram os efeitos que esta alteração no Código Penal traria para o mundo jurídico e muitas críticas foram feitas com relação ao bem jurídico que estaria sendo tutelado e a dificuldade que se teria para o enquadramento dos futuros delitos informáticos. Uma dessas críticas foi escrita por KRETSCHMANN e WENDT (2018. P. 14), para os quais o delito de invasão de dispositivo informático “exige dolo específico do agente, em obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo”, pois havendo esta (autorização) “não há caracterização delitiva”. Sem dolo não há crime.
Apesar das críticas, a Lei nº 12.737/2012, conhecida com Lei Carolina Dieckmann, significou um marco na tipificação de crimes cibernéticos. Desde 2012, é possível constatar o rápido desenvolvimento tecnológico na área de informática, daí porque se questiona se a abrangência dos tipos penais identificados nessa lei enquadrará novas modalidades de delitos que os criminosos estão prontos para cometerem fazendo uso das novas tecnologias informáticas.
- Internet das Coisas (IoT): Conceito e principais características
Até recentemente, o conteúdo produzido para a internet visava sobretudo a interação entre pessoas. Atualmente, a tecnologia permite conectar coisas com coisas através da rede mundial de computadores, sem a necessidade expressa da interação humana para decidir sobre quais informações devem ou não serem geradas ou compartilhadas. As vantagens dessa nova situação tecnológica são muitas. Carros, eletrodomésticos, relógios, smartphones, aparelhos médicos, sistema de gestão de infraestrutura governamental, frotas inteiras de veículos, sistema de transportes, residências, empresas, prédios. A Internet of Things (IoT) – ou Internet das Coisas (IoC) em português, – aparenta ser uma realidade irreversível.
No futuro, todos os objetos físicos terão um endereço IP ( internet protocol) é um número que identifica unicamente cada dispositivo conectado à rede mundial de computadores. e se transformarão em tecnologias da informação. É como se cada objeto pudesse transmitir informações tais como: onde foi fabricado, o nome das pessoas que o construíram, em que dia e a que horas ele saiu da linha de montagem, qual a placa do caminhão que o transportou, em qual loja varejista foi entregue assim como o nome e endereço de quem o adquiriu.
Mais que isso. A partir daí, no caso de uma geladeira, registrará os hábitos alimentares da família, avisará quando for a hora de comprar novos ingredientes e poderá até providenciar a encomenda dos produtos, o pedido e o pagamento mediante fornecimento de dados financeiros previamente cadastrados. Ainda, se for desejo do seu proprietário, poderá pedir que seja feita a entrega em endereço previamente cadastrado. Em seguida, também será possível, através de mensagem, comunicar ao proprietário do dispositivo quais os produtos que foram entregues e que aguardam o armazenamento.
Além disso, os dispositivos serão capazes de autogestão, armazenando informações que interessam ao seu próprio funcionamento, tais como: quantas vezes a porta foi aberta, por quanto tempo, se há necessidade de troca de alguma peça, ajustar seu consumo de energia e, no final de sua vida útil, poderá até mesmo sugerir a reciclagem de determinadas peças.
No mundo da IoT tudo será programável e interativo, mesmo sendo apenas entre dispositivos. A tecnologia permitirá uma nova forma de conexão que possibilitará o controle de qualquer objeto na Terra de forma remota. Para GOODMAN (2015, p.243) “A IdC e seus bilhões de sensores criarão uma rede de inteligência integrada que pensa, percebe, sente e contribui profundamente para o universo cognoscível.” Para que todas essas operações sejam possíveis, as coisas que podem interagir na IoT devem ser, obviamente, dispositivos eletrônicos com capacidade para executar programas informáticos fazendo parte de um grande subsistema que se conectam a sistemas centrais.
Por fim, quando se fala em IoT, para efeito do Direito Penal, deve-se ter em mente que o bem jurídico tutelado é a informação e que esta pode ser afetada em várias situações: em um ataque ao hardware ou à nuvem no qual ela está armazenada ou em um ataque ao software que a operacionaliza. Frisa-se que o bem jurídico tutelado é a própria informação, esteja ela estática e armazenada ou em trânsito por milhares de computadores.
2.1 – A Internet das Coisas e as novas possibilidades para cometimento de delitos em ambiente de novas tecnologias
Já se sabe que muitos delitos previstos no ordenamento jurídico também podem ser cometidos pela internet. Furto, estelionato, calúnia, pornografia são exemplos de crimes que podem ser praticados através da rede mundial de computadores. Nestes casos, a rede é usada como um instrumento auxiliar na execução do delito. E é importante destacar que, em geral, as características dos tipos penais levam em conta a conduta de seus agentes, seja por ação ou por omissão, e não à forma como ela se deu.
Para KRETSCHMANN e WENDT (2018, p. 121) “os delitos informáticos são basicamente crimes de meio, ou seja, um crime praticado por meio, através do computador, em geral com o uso da internet.” . Nesses casos, afirmam os autores, os crimes são classificados 9 como comuns, aplicando-se as mesmas penalidades, tendo como única diferença o meio utilizado para praticar o delito: meio digital ou cibernético. Não há, atualmente, no ordenamento jurídico brasileiro nenhum agravante em virtude da forma como o crime cibernético foi cometido e sim, ao tipo de vítima contra a qual o crime foi aplicado.
Não se pode ignorar o fato que, pode-se cometer delitos contra a pessoa – tais como injúria, calúnia ou difamação – pela internet, porém a extensão dos efeitos são bastante amplos quando eles ocorrem através de redes sociais. Ataques às informações pessoais, como se sabe, trazem como consequência a intranquilidade social na medida em que, quando acessadas de forma ilícita, são usadas para ameaçar seu proprietário, para extorquir ou para fraudar.
No caso de homicídios e de incitação ao suicídio, por exemplo, a situação tende a se tornar mais grave, por exemplo, no caso hipotético de uma invasão à rede de informação de um aeroporto que altere voos, cause pane elétrica em instrumentos aeronáuticos ou induza multidões ao pânico.
Outras formas de homicídio, usando a tecnologia digital em cidades/ empreendimentos digitais, são citadas por KRETSCHMANN e WENDT (2018. p. 128) e são: “(a) manipulação de sinais de trânsito, causando confusão e acidentes; (b) desligamento remoto de elevadores, causando a queda e a morte de pessoas; e, (c) controle remoto de veículos e acionamento abrupto dos freios.”
Um caso de grande repercussão divulgada pela mídia ocorreu no ano de 2019 com a volta da presença de um personagem chamado Momo. Ele aparecia em vídeos infantis e convidava crianças a participarem de jogos cujo objetivo era se ferirem e que tinham como desafio final o suicídio. A revista Veja São Paulo, em seu site , descreveu como os jovens tinham acesso à “brincadeira”. Através do aplicativo de mensagens WhatsApp vindas de um número estrangeiro, jovens eram incitados a cometerem suicídio. A imagem do boneco aparecia em vídeos infantis, de temas como slime, junto “a uma voz que define objetos que poderiam ser usados para cortar os pulsos”. Na época, a plataforma do aplicativo YouTube kids, cujos links eram compartilhados, negou que pudesse haver qualquer tipo de produção dessa natureza devido ao rígido sistema de controle no qual os vídeos são submetidos a fim de detectar a existência de conteúdo impróprio.
Na medida em que mais e mais produtos vão sendo conectados à rede, mais informações pessoais vão sendo colhidas pelos fabricantes dos produtos tecnológicos a pretexto de, conhecendo mais detalhes sobre os hábitos e costumes de seus clientes, poderem oferecer soluções cada vez mais personalizadas, além de permitirem aprimoramento constante dos próprios produtos. Para que essas informações sejam coletadas, é bem provável que os dispositivos IoT sejam disponibilizados no mercado com termos de serviços que concedam acesso aos seus respectivos fabricantes a todos os dados gerados durante a sua utilização.
O que se verifica é que o que antes era tido como privado estará disponível para pessoas desconhecidas. Nossos produtos fornecerão informação a terceiros sobre nossos próprios hábitos que sequer poderemos imaginar. Com a queda do preço das novas tecnologias para conexão, novos produtos de consumo serão desenvolvidos e, em breve, os objetos serão controlados à distância com precisão.
Um dos dispositivos de baixo custo que pode ser incorporado à qualquer objeto para torná-lo inteligente ou capaz de interagir com outros objetos é a RFID (RFID é abreviação de Radio Frequency Identification, ou seja, identificação por rádio frequência). É a aplicação da onda de transmissão do velho rádio de pilhas. No lugar de transmitir a voz, transmite dados que ficam gravados em um chip eletrônico posicionado dentro de uma etiqueta). Por terem a espessura de uma folha de papel, muitas vezes no formato de etiqueta e do tamanho de uma moeda, eles são capazes de realizar, como afirma GOODMAN (2015. P. 245): “em tempo real, a troca constante de dados e podem ser lidos por scanners, alguns a uma distância de até cem metros”. Esse dispositivo, embora bastante conveniente, é bastante vulnerável a hackers (hacker: é um indivíduo que se dedica, com intensidade 14 incomum, a conhecer e modificar os aspectos mais internos de dispositivos, programas e redes de computadores) e pode facilmente ser falsificado e bloqueado. Infelizmente, toda essa vulnerabilidade não passa despercebida pelos criminosos virtuais. Conforme observa o autor: ”As técnicas para hackear a RFID são fáceis de imitar, e há centenas de sites e vídeos online que explicam aos hackers exatamente como isso é feito.” É uma verdadeira universidade do crime.
3. A nova dimensão do conceito de invasão e sua adaptabilidade para o ambiente voltado para a Internet das Coisas (IoT)
Segundo o dicionário Michaelis online, invasão é um ato ou efeito de invadir. E o sentido de invadir significa: “Entrar com força em; penetrar hostilmente em determinado lugar; apoderar-se, conquistar, tomar”. Ou ainda, “Assumir indevidamente; assenhorear-se, tomar, usurpar” . Observa-se que, segundo esse conceito, é necessário o uso de força para que uma situação seja caracterizada como invasão.
No ordenamento jurídico brasileiro, mais especificamente no Código Penal, ao tipificar o crime de violação de domicílio tem-se, em seu artigo 150, o termo violar relacionado com “entrar ou permanecer, clandestina ou astuciosamente, ou contra a vontade expressa ou tácita de quem de direito, em casa alheia ou em suas dependências”. Rogério Greco (GRECO, 2016. P. 452), em seu Curso de Direito Penal, quando fala sobre o crime de invasão de domicílio, entende que o núcleo entrar é empregado no sentido de invadir, ultrapassar os limites da casa ou de suas dependências, além disso, destaca que a conduta só será considerada violação de domicílio se o agente tiver realizado a ação de forma clandestina ou astuciosamente, ou ainda, contra a vontade expressa ou tácita de quem de direito . Mas também destaca que essas duas formas de violação, clandestina e astuciosamente, são modalidades de cometimento do tipo penal, uma vez que também são típicas as formas de ingresso pelo uso da força ou de forma ostensiva. No caso de violação de correspondência, descrito no art. 151, do Código Penal Brasileiro, o núcleo utilizado pelo legislativo foi Devassar que significa, segundo GRECO (2016. P. 473), “tomar conhecimento total ou parcialmente, expor a descoberto, tornar conhecido o conteúdo de correspondência fechada, dirigida a outrem, não havendo necessidade de que a correspondência seja aberta ou danificada.”
Para NUCCI (2017. P. 545-547), invadir significa violar, transgredir, entrar à força em algum lugar, 18 carregando o verbo, segundo ele, um forte conteúdo normativo. E mais: não basta ao agente simplesmente entrar no dispositivo informático alheio, uma vez que isso pode ocorrer por mero acidente, é preciso que ele ocupe um espaço não permitido.
No mesmo texto, NUCCI (2017, P. 546) também destaca que dispositivo informático é qualquer mecanismo apto a concentrar informação por meio de computador ou equipamento similar. Também apresenta uma lista de dispositivos considerados informáticos: computador de mesa, notebook, tablet, laptop, bem como smartphones, que hoje são verdadeiros minicomputadores, incluindo nessa lista qualquer outro tipo de equipamento que possa surgir com idêntica finalidade. Ele destaca a ideia de que o propósito (objetivo) deve ser obter qualquer vantagem ilícita, tornando o dispositivo acessível à violação.
O artigo 5º da Constituição Federal , inciso X, ao determinar que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, proíbe que pessoas obtenham informações sobre a vida de outras sem que tenham sido autorizadas e que quando ocorrer algum tipo de acesso desautorizado (violação) seja assegurado o direito de requerer indenização pelo dano material ou moral decorrente dessa violação.
A Constituição também garante a inviolabilidade da casa, da correspondência e das comunicações telegráficas, de dados e telefônicas, salvo por ordem judicial em casos de investigação criminal ou instrução processual penal.
Ao analisar cada um desses entendimentos sobre o núcleo do tipo penal do artigo 154-A, faz-se necessário investigar o próprio conceito do que se denomina como dispositivo informático, notadamente aqueles que tem inserido a tecnologia da IoT, tais como: objetos de uso doméstico, pessoal e profissional. Tal investigação ganha relevância maior quando se coteja a vulnerabilidade da tecnologia RFID, que pode estar inserida na IoT. Além de se buscar uma conceituação sobre os chamados dispositivos informáticos, levando em conta se os mesmos teriam algum tipo de autonomia para geração de dados informáticos sem a necessidade de interação humana, é necessário entender como a legislação penal vigente pode abranger a comunicação entre softwares que interpretam, podendo mesmo transformar, as mesmas informações.
A rigor, o que se pretende analisar é se a atual redação do artigo 154-A abarca todas as possibilidades frente ao desenvolvimento da tecnologia IoT, e suas possíveis vulnerabilidades. Um exemplo de uma situação possível dentro desse sistema é a de um fabricante de um equipamento que, tendo autorização do usuário para acessar o dispositivo e para instalar atualizações, produza uma falha em um programa com vulnerabilidades que permita que criminosos o acessem remotamente sem o conhecimento do proprietário do dispositivo. Faz-se necessária uma verificação se essa situação pode ser enquadrada no referido dispositivo legal. Questões concernentes a soluções tecnológicas e legais merecem um estudo aprofundado. É o que se pretende tratar no próximo tópico.
4. O enquadramento do tipo penal para a ação de invasão de dispositivo informático no ambiente da internet das coisas: principais dificuldades
Ao elaborar este trabalho, é forçoso reconhecer a escassez de fontes teóricas que reflitam sobre a conceituação das novas tecnologias que, constata-se, avançam pari passu com novos desafios. Muito há ainda a se definir para uma conceituação jurídica mais abrangente e atualizada da chamada internet das coisas (IoT). Assim, através da pesquisa de fontes pertinentes, buscou-se fundamentos sólidos para se entender como a nova tecnologia pode estar contemplada frente à legislação em vigor.
Para analisar o caput do artigo 154-A, que trata da invasão de dispositivos informáticos, frente à Internet das coisas, foi necessário separar seu conteúdo em pequenas partes ou trechos a fim de encontrar o significado de cada termo tendo em vista esse novo universo. Buscou-se, assim, uma interpretação que permitisse que a moldura definida por esse artigo pudesse ser utilizada de forma efetiva na IoT.
Inicialmente, observa-se o seguinte trecho: Invadir dispositivo informático alheio, conectado ou não à rede de computadores. Com relação ao significado do termo invadir, como destacado anteriormente, sua execução pressupõe o uso da força e o rompimento de algum obstáculo que impede o acesso direto. No entanto, essa definição não apresenta um sentido claro no meio informático porque se sabe que se pode obter o conteúdo armazenado em um dispositivo informático de diversas formas, inclusive aproveitando um acesso aberto pelo próprio dono da informação quando visitou algum link malicioso. É como se o proprietário de um veículo tivesse seu veículo furtado porque deixou a janela aberta e que isso pudesse justificar a prática do delito.
Alguns estudos, tal como o de SYDOW (2015) já discutem a responsabilidade do usuário que contribui para a ocorrência do delito. Em uma situação como essa, percebe-se que não seria um caso de invasão, já que não houve nenhum tipo de uso de força ou rompimento de mecanismo de segurança, como prevê a norma em destaque. Essa mesma ideia é defendida por PINHEIRO (2016. P. 382) ao afirmar que “grande parte da responsabilidade pelo crescimento dos crimes virtuais se deve à conduta displicente de muitos usuários”.
Então, ao usar o termo invadir, e com isso supor um rompimento de algum mecanismo de segurança, tal como uma senha, o legislador deixou de considerar situações em que o usuário permite o acesso de forma tácita ou involuntária, seja devido à instalação de um programa não autorizado ou malicioso que ele acessou através de um link, seja porque ele deixou o dispositivo desprotegido, seja porque ele disponibilizou sua senha para um terceiro, tal como acontece, por exemplo, quando o usuário autoriza um fornecedor de software para que este possa instalar atualizações remotamente ou quando entrega seu computador para manutenção sem qualquer garantia. Nesses casos, o delito seria obter informações sigilosas pessoais sem autorização prévia do seu proprietário já que seu acesso estaria livre de qualquer bloqueio, o que não pode ser interpretado como uma autorização tácita.
Ainda analisando o trecho em destaque, observa-se a referência a “dispositivo informático alheio”. Obviamente, não há invasão quando o próprio dono do equipamento explora o seu conteúdo. Portanto, o texto legal apenas reforça uma ideia que é dispensável.
No final do trecho do texto legal destacado encontra-se a condição de que o dispositivo pode ou não estar conectado à rede de computadores, o que garante que o tipo penal abarque toda e qualquer violação em dispositivos informáticos. É o que também afirma PAESANI (2014. P. 68) ao escrever que “as redes podem ser vir de plataforma para atividades que abrangem largo espectro social, estendendo-se seus efeitos inclusive a pessoas que não usam computadores e rede”.
Assim, quando o dispositivo informático está fora da rede, se for acoplado um equipamento com programas que quebrem a segurança diretamente em um desses dispositivos, o tipo pode ser aplicado. No ambiente da IoT, não há o que falar em equipamento fora da rede já que os acessos indevidos ocorrem remotamente, e por ser essa uma das suas características principais.
Se a ação delituosa consiste em “invadir”, a ausência de qualquer mecanismo de segurança, tal como senha, já tornaria a situação atípica, não sendo possível a aplicação da norma. Então, o trecho seguinte que determina que a invasão seja “mediante violação indevida de mecanismo de segurança” não enquadra quando ela ocorrer em equipamentos ou sistemas onde não há senha. Também não poderá enquadrar como violação a situação em que o usuário permite o acesso a terceiros ao emprestar seu equipamento ou se houver instalação de fragilidades durante assistência técnica nem tampouco quando forem instaladas vulnerabilidades em virtude do acesso a sites maliciosos ainda que haja destruição, cópia, adulteração ou divulgação indevida de informações. Para PINHEIRO (2016. P. 382), “as senhas são a assinatura eletrônica dos Indivíduos na rede, decifrá-las significa aprender a falsificar uma assinatura” o que tornaria legítimo o seu uso, como se o próprio usuário tivesse realizado a ação ou omissão.
Antes de seguir para a análise do próximo trecho do texto legal, faz-se mister discorrer sobre a definição dos dispositivos informáticos na IoT. Na lista de dispositivos apresentada por NUCCI (2017. P. 545-547) observa-se uma característica comum a todos eles: são todos equipamentos que foram desenvolvidos para terem capacidade de processamento. No entanto, as coisas conectadas através da IoT incluem aparelhos domésticos, máquinas industriais ou comerciais que coletam informações que, em geral, ficam armazenadas em nuvem e depois são enviadas para serem interpretadas por softwares inteligentes. As coisas conectadas na IoT não têm, necessariamente, processamento e não são programáveis.
O trecho seguinte da norma se refere a um aspecto subjetivo, relacionando-se com a intenção do invasor do dispositivo informático: e com o fim de obter, adulterar ou destruir dados ou informações. Observa-se que o legislador buscou justificar a invasão de acordo com a intenção que o agente teve ao acessar conteúdo do dispositivo, como se a própria invasão já não devesse ser punida, e que apenas o resultado pudesse tipificar a ação delitiva. Ora, se o agente obtiver a informação e não divulgar, não há como a vítima saber. A invasão em dispositivos informáticos não deixa vestígios físicos portanto, se o acesso foi remoto e apenas barreiras de software foram exploradas e vencidas, não há como saber que ela aconteceu. Nessa invasão, o agente pode ter obtido segredos industriais, pode ter tido acesso a assuntos de segurança nacional, pode ter adulterado o funcionamento de uma usina nuclear e, com isso, provocado um acidente fatal, e mais, pode ter destruído o dispositivo e não apenas seus dados e informações. Neste caso, pode não ser apenas uma questão de dano patrimonial.
Uma outra questão a ser considerada na IoT decorre da situação hipotética em que um fabricante, ao instalar uma nova versão do seu aplicativo, tem acesso a dados sigilosos e os copia para alguma nuvem a fim de os recuperar posteriormente e os reinstalar. A intenção inicial, nessa situação, não é violar dispositivo e nem acessar essas informações. Porém, ao explorar uma falha na segurança desse armazenamento em nuvem, um criminoso pode acessar a rede do fornecedor e conseguir acesso aos dados armazenados nessa nuvem. Nessa situação, a violação foi executada por um terceiro não autorizado que pode estar em qualquer lugar no mundo, inclusive em um Estado que não tenha ainda normas que penalizem esse tipo de comportamento. Percebe-se, a partir daí, uma dificuldade para aplicar a norma, primeiro porque o crime não ocorreu em território brasileiro e segundo porque, nesse caso, faz-se necessário expandir o conceito de dispositivos informáticos a fim de que a nuvem seja considerada como tal e não apenas que seja visto apenas como um repositório de dados.
O trecho seguinte do caput da norma determina que, para configuração do crime, deve haver autorização expressa ou tácita do titular do dispositivo. Da primeira afirmação se observa que não há crime quando o acesso ao conteúdo do dispositivo foi autorizado, ainda que tenha havido uso de senha ou mecanismo de segurança. Não se pode falar que tenha havido, nesse caso hipotético, uma invasão em dispositivo informático alheio mediante violação indevida de mecanismo de segurança. Não há, portanto, enquadramento legal.
Por outro lado, se o usuário foi negligente acessando links que imaginava ser seguro e que permitiram o acesso indevido aos seus dados e informações sigilosas pessoais ou profissionais, há que se analisar em que medida ele teria algum tipo de responsabilidade no cometimento do delito. O proprietário das informações não autorizou o acesso e nem divulgação, porém, teve um comportamento que permitiu a invasão.
Em seu último trecho, o legislador incluiu um outro aspecto subjetivo que trata da intenção do agente em instalar vulnerabilidades para obter vantagem ilícita. Pode acontecer de um fornecedor de aplicativo instalar vulnerabilidades sem que tenha conhecimento, pelo fato de não ter tratado a questão de segurança com rigor. Nesse caso, tendo recebida autorização expressa do proprietário do dispositivo para instalar aplicativo ou realizar atualização se sistemas ou de programas, não se pode configurar esse fato como estando tipificado pela norma, uma vez que não terá ocorrido invasão de dispositivo informático de terceiros, como previsto no artigo, nem tampouco a intenção de instalar vulnerabilidades.
Percebe-se que faz-se necessário a definição de rigorosos padrões mínimos de segurança para desenvolvimento de aplicativos, assim como a divulgação de orientações aos usuários para que evitem comportamentos que facilitam o cometimento de crimes. E na medida em que a tecnologia avança, faz-se necessária uma constante atualização tecnológica para todos os operadores do Direito: advogados, juízes, promotores, delegados, defensores, investigadores e todos os que participam do processo. Uma mudança de postura se faz necessária, segundo PINHEIRO (2016, p. 384), “ para que possamos ter uma sociedade digital segura; caso contrário, coloca-se em risco o próprio ordenamento jurídico”.
Já prevendo uma grande quantidade de dados e informações coletadas dos diversos dispositivos, a indústria tem buscado aumentar cada vez mais a capacidade de armazenamento dos equipamentos. O conceito de nuvem representa uma virtualização desse armazenamento na medida em que a localização física dos equipamentos não precisa ser conhecida pelos seus usuários. Uma invasão a um dispositivo pode permitir o acesso remoto a toda e qualquer informação do usuário, independente de sua autorização ou conhecimento. Fala-se aqui de área virtual de dados do usuário sem que tenha havido qualquer acesso a uma dispositivo físico, apenas ao link de sua conexão.
Por se tratar de uma tecnologia da informação, o ecossistema tecnológico conhecido como Internet das coisas, IoT, está vulnerável às mesmas ameaças cibernéticas que ameaçam a tecnologia da informação: ameaças às informações confidenciais, à integridade dos dados, violação e acesso e a cada nova evolução tecnológica, ao cometimento de novas formas de extorsão, violação, furto, adulteração, exclusão, divulgação indevida e até homicídios e atentados terroristas.
CONCLUSÃO
Com o desenvolvimento de novas tecnologias, faz-se necessário um novo olhar para o cometimento de delitos, não só com relação aos que já estão previstos, como também para as novas possibilidades de uso indevido de aplicações, dados e informações sigilosas e pessoais. Há um novo ecossistema tecnológico chamado Internet das coisas (IoT) onde máquinas passam a ter inteligência e a interagir com humanos e com outras máquinas.
Nesse novo ambiente tecnológico, as legislações nacional e internacional devem ser aplicadas de forma a prever os riscos para a segurança e para a defesa da IoT ligada ao consumo, ao comércio e à indústria pois ao não proteger os usuários, seus aplicativos, seus sistemas e seus equipamentos, as normas já se apresentarão inadequadas para a nova realidade.
O código penal brasileiro, a partir de um caso concreto ocorrido com a atriz Carolina Dieckmann, sofreu atualização com a introdução do artigo 154-A que trata de enquadrar os crimes cometidos através de invasão de dispositivos informáticos. Antes de verificar se a inserção do artigo 154-A no Código Penal é suficiente para enfrentar as ameaças advindas das novas tecnologias informáticas, discorreu-se sobre a Internet das Coisas destacando-se suas principais características para que o leitor compreenda a dimensão desse ecossistema tecnológico onde coisas interagem com outras coisas e com pessoas. A IoT, como visto, permite o armazenamento de milhares de informações pessoais tais como hábitos alimentares, de lazer, lugares frequentados, lojas preferidas, gostos musicais, dentre tantas outras informações que hoje sequer se consegue imaginar. Em seguida, optou-se por analisar o caput da norma separando seus comandos em sub-partes e verificou-se ser ela insuficiente para enquadrar todas as modalidades de delitos que esse novo ambiente traz para a sociedade.
Neste trabalho de pesquisa, ao analisar a descrição do tipo penal, observou-se que já existem diversas situações não enquadradas por ele, uma vez que o termo invadir pressupõe o uso de força ou rompimento de algum obstáculo, seja físico ou virtual, como senha. Não só através de invasão como descreve o texto legal, no ambiente da IoT o acesso indevido também pode ocorrer pelo uso de senha obtida através de programa instalado no dispositivo do proprietário depois de se usar meio ardil que o fez acessar link malicioso. Nesse caso, seria como se a vítima abrisse a porta de casa para o criminoso entrar, embora esse não fosse o seu desejo. Outra forma de acesso sem invasão nem rompimento de mecanismo de segurança é possível quando o acesso se dá através de senha fornecida pelo próprio dono do dispositivo, seja em um ambiente de assistência técnica, seja para um fornecedor instalar atualizações de programas, seja para um amigo ou parente acessar seu dispositivo por algumas horas. Também se pode obter dados e informações acessando a nuvem na qual eles estão armazenadas. Isso significa acessar servidores de armazenamento instalados em outros países cuja norma interna não abrange, ou seja, interpretando de uma forma mais extensiva, pode-se entender que ao transferir seus dados para a nuvem, o proprietário estaria retirando as informações de seu dispositivo e passando para terceiros o cuidado com a segurança de suas informações pessoais e sigilosas.
E ainda, se a obtenção, adulteração ou destruição ocorrer sem violação de mecanismo de segurança o normativo não pune qualquer ação que sobre os dados ou informações que estiverem disponíveis possa ser tomada. Também se observa que, se a obtenção dos dados ou informações ocorreu fazendo uso da senha do seu proprietário, portanto, sem ter ocorrido uma invasão do dispositivo, a lei não criminaliza esse ato e nem uma futura venda dessas informações ou dados Também não prever enquadramento se for instalada alguma vulnerabilidade que permita um futuro acesso remoto.
O fato é que, enquanto se espera que o ordenamento jurídico e a doutrina avalie as normas quanto à sua interpretação dentro do ambiente de IoT, a tecnologia continua avançando e hoje alguns fabricantes já falam no desenvolvimento de um novo conceito: o da Internet Of Everything (IoE), um conceito muito mais abrangente cujo objetivo será a interligação de pessoas, processos, dados e coisas em uma grande rede.
REFERÊNCIAS
BRASIL. Código Penal: disponível em: http://www.planalto.gov.br/ccivil_03/ _Ato2011-2014/2012/Lei/L12737.htm#art2. Acessado em 17/09/2019.
BRASIL. Constituição Federal do Brasil – disponível em http://www.planalto.gov.br/ ccivil_03/Constituicao/Constituicao.htm. Acessado em 19/09/2019.
Dicionário Michaelis online. Disponível em: http://michaelis.uol.com.br/busca? r=0&f=0&t=0&palavra=Invadir. Acessado em 14/09/2019.
GIOVANELI, Flaviano Wolf. COMENTÁRIOS À LEI Nº 12.737/2012 IN Direito das Novas Tecnologias. Legislação Eletrônica Comentada, Mobile Law e Segurança Digital. São Paulo: Editora Revista dos Tribunais, 2015.
GOODMAN, Marc. Future Crimes. Tudo está conectado, todos somos vulneráveis e o que podemos fazer sobre isso. São Paulo: HSM Editora, 2015.
GRECO, Rogério. Curso de Direito Penal: parte especial, Volume II: introdução à teoria geral da parte especial: crimes contra a pessoa, 13a ed. Niterói, RJ: Imperus, 2016.
KRETSCHMANN, Ângela; WENDT, Emerson. Tecnologia da informação & Direito. Porto Alegre: Livraria do Advogado, 2018.
NUCCI, Guilherme de Souza. Código penal comentado / Guilherme de Souza Nucci. – 17. ed. rev., atual. e ampl. – Rio de Janeiro: Forense, 2017.
PAESANI, Liliana Minardi. Direito e Internet: Liberdade de informação, privacidade e responsabilidade civil. 7ª Ed. São Paulo : Atlas, 2014.
PINHEIRO, Patrícia Peck. Direito Digital. 6ª Ed. Rev. Atual. E ampl. São Paulo: Saraiva, 2016.
SYDOW, Spencer Toth. Crimes informáticos e suas vítimas. 2ª Ed. São Paulo : Saraiva, 2015. (Coleção saberes monográficos – coord. Alice Bianchini e Luiz Flávio Gomes).
[1] o termo cracker é o usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança