quarta-feira, 23 de junho de 2010

Arts. 154-A e 154-B – Invasão de Dispositivo Informático e sua Ação Penal

Art. 154-A Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

§ 1º  Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

§ 2º  Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.

§ 3º  Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.

§ 4º  Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.

§ 5º  Aumenta-se a pena de um terço à metade se o crime for praticado contra:

I - Presidente da República, governadores e prefeitos;

II - Presidente do Supremo Tribunal Federal;

III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.    

Ação penal  

Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.

1 – Objeto Jurídico:

A privacidade, como bem jurídico a se tutelar.

A Lei nº 12.737/12 incorporou ao Código Penal o tipo designado Invasão de Dispositivo Informático. Com a evolução das técnicas de transmissão, armazenamento e computação de dados e informações, bem como das facilidades daí decorrentes, passou o legislador a tutelar a privacidade daqueles que pretendem o sigilo de dados e informações contidos em seus dispositivos informáticos.

Para tanto, passa a se considerar criminoso o ato de lograr acesso, sem autorização da vítima (do contrário não se trataria de invasão), às funcionalidades de dispositivo informático de terceiro, devendo ser compreendido como tal o mecanismo apto a receber dados, dar tratamento a estes e transmiti-los. Para a norma em questão, é indiferente o acesso do equipamento à rede mundial de computadores.

O tipo ainda exige uma maneira específica à invasão do dispositivo, que deve ser praticado mediante “violação indevida de mecanismo de segurança”. Não se trata, pois, de crime de ação livre. Por tal peculiaridade, a norma também dá a entender que o acesso aos dados ou informações sem a vulneração “indevida dos mecanismos de segurança” resultará em indiferente penal, justamente porque, a rigor, o delito só se configura quando praticado mediante burla à segurança do dispositivo.

A contrario sensu, parece que, se o acesso aos dados se der sem a violação indevida de mecanismo de segurança, já não se pode cogitar a prática do crime previsto no artigo 154-A do Código Penal. Exemplo disso pode ser o equipamento sem mecanismo de sigilo ou bloqueio, bem como aquele com tal funcionalidade desabilitada.

Ainda, num primeiro momento, há exigência de um dolo específico para a materialização do crime, justamente o objetivo de obter, adulterar ou destruir os dados protegidos. A rigor, e salvo melhor entendimento, também escapa do alcance da norma a invasão de um equipamento apenas para expor a fragilidade de seu mecanismo de segurança, sem visar a obtenção, adulteração ou destruição de dados e informações ali contidos.

O delito também se configura quando a invasão implicar na instalação de uma vulnerabilidade na segurança do dispositivo. Neste caso, contudo, também se pressupõe a finalidade de se obter uma vantagem indevida, um dolo específico.

Com efeito, a leitura mais atenta da norma pode revelar que seu alcance é menor do que pode parecer numa primeira vista, pois o tipo pressupõe um modo específico de execução, bem como um dolo peculiar.

O § 1º descreve condutas equiparáveis àquelas previstas no caput, consistentes na disponibilização de ferramentas físicas ou virtuais voltadas à violação dos sistemas de segurança dos dispositivos informáticos. Aqui também há um dolo específico voltado ao fomento das invasões coibidas no caput.

O § 2º prevê causas de aumento para o crime, quando resultar em prejuízo econômico à vítima.

No § 3º há uma figura qualificada para o crime, que incidirá quando deste resultar a obtenção de comunicações privadas, segredos industriais ou comerciais e informações sigilosas, bem como no controle remoto do dispositivo violado. Esta figura é subsidiária, contudo, deixando de incidir caso integre delito mais grave.

O § 4º atribui uma causa de aumento ao crime qualificado, que se aplica quando os dados ou informações obtidos forem divulgados, comercializados ou simplesmente transmitidos a terceiros.

O § 5º prevê outra causa de aumento possível à conduta simples e à qualificada, a se aplicar quando considerada a qualidade da vítima, enquanto presentante dos entes federativos (Presidente, Governador e Prefeito), Presidente do STF, Presidentes dos Poderes Legislativos e dirigentes máximos da administração pública direta ou indireta Federal, Estadual e Municipal.

2 - Sujeito Ativo e Sujeito Passivo: O crime pode ser praticado por qualquer pessoa e qualquer um pode ser vítima, tratando-se, assim, de crime comum.

3 - Elemento Subjetivo: Trata-se de crime doloso, sem previsão legal à repreensão da conduta culposa.

4 - Consumação/Tentativa: O crime se consuma com a efetiva invasão do dispositivo informático, pela violação de seu mecanismo de segurança, sendo possível a tentativa.


5 – Ação Penal: O artigo 154-B foi incluído aqui por tratar de matéria singela, sem exigência de um debate mais aprofundado em postagem própria. Trata, pois, da ação penal, que será condicionada à representação do ofendido, salvo quando a vítima se tratar da Administração Pública direta ou indireta, hipótese na qual será pública incondicionada.

6 - Ação do vírus Wanna Cry é crime virtual (art. 154-A do Código Penal)?

      Pelas informações difundidas na imprensa, é possível considerar que a ação mundial do vírus "Wanna Cry", no dia 12 de maio de 2017, caracteriza o crime de Invasão de Dispositivo Informático? Seria necessário ao intérprete o uso subsidiário de outra norma à repressão da prática delituosa?

      De início, caso a invasão faça vítimas no território nacional, o Brasil tem competência para julgar ações penais relativas ao episódio (artigo 6º do Código Penal).

     O Brasil também poderá processar e julgar a invasão cuja vítima for a Administração Pública ou quem está a seu serviço, mesmo sendo estrangeiro seu autor. Será o caso, então, da extraterritorialidade incondicionada (alíneas "b" e "c" do inciso II do artigo 7º do Código Penal). Nesses casos o autor do fato pode ser julgado no Brasil mesmo se absolvido ou condenado por juiz ou tribunal estrangeiro. 

     Por fim, mesmo não sendo signatário da Convenção de Budapeste, o Brasil poderá processar e julgar ações penais cujo réu for brasileiro ou quando o delito for praticado em aeronaves e embarcações brasileiras (bandeira ou pavilhão), quando não julgados em território estrangeiro, desde que consideradas as condições do § 2º do artigo 7º do Código Penal.

       Logo, é possível que os fatos se submetam à jurisdição brasileira.

     Sobre a atuação do vírus em si, pressupõe-se, de início, a existência e atividade de mecanismo de segurança a defender o aparelho de invasões indevidas.

E a ação invasiva no equipamento informático da vítima envolve a criptografia dos arquivos contidos no aparelho, tornando-os indecifráveis por ela, e a serem novamente tornados legíveis apenas depois de o autor obter uma vantagem pecuniária indevida (entrega de bitcoins), isso também sob ameaça de destruição dos dados criptografados.

     Então, de início não se trata de destruir ou obter os dados informáticos da vítima, condensando-se o verbo nuclear apenas na efetiva adulteração destes, que assim o foram de modo a torná-los incompreensíveis pelo usuário.

        Se remanescer prejuízo econômico à vítima, incide a hipótese do § 2º do artigo 154-A.

      Caso a conduta não envolva a obtenção de dados da vítima, pelo autor, o que parece ser a situação, não é o caso de se aplicar as hipóteses dos §§ 3º e 4º do artigo 154-A do Código Penal.

      A causa de aumento também é possível, quando considerada a condição pessoal da vítima (§ 5º do artigo 154-A do Código Penal).

     A ação do "Hacker" no caso poderia ser considerada extorsão, caso não houvesse definição específica, pois sob, grave ameaça, a vítima é constrangida a efetuar operação de depósito de valor pecuniário (bitcoin).

Nenhum comentário:

Postar um comentário

Observação: somente um membro deste blog pode postar um comentário.