Parte I, Parte II e Parte III

A Lei 14. 155, de 27 de maio de 2021, produziu importantes alterações no Código Penal e no Código de Processo Penal, tornando “mais graves os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet”. No plano processual, mudou a regra de competência para algumas modalidades do crime previsto no art. 171 do CP.

A nova Lei surge em um contexto de profundas modificações da esfera pública a partir da reestruturação dos meios de comunicação e da existência de um novo processo, materializado por intermédio da proliferação das mídias sociais, potencializadas pelo avanço da tecnologia e da cultura digital.

As alterações no art. 154-A do CP (invasão de dispositivo informático)

A redação do caput, que define o tipo básico do crime de invasão de dispositivo informático, sofreu pequena modificação. Eis a formulação atual:

Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita.

Percebe-se, a partir de comparação com a formulação anterior, que apenas foi suprimida a expressão “mediante violação indevida de mecanismo de segurança”, que impunha como requisito para a configuração do crime que o dispositivo ou aparelho estivesse, ao tempo da conduta invasiva, protegido por algum sistema de segurança (por exemplo, senha, padrão de desbloqueio ou leitor de biometria). Para ilustrar o efeito prático da alteração, hoje é possível que se reconheça a prática do crime mesmo quando o agente atua sobre um telefone celular que já encontrou completamente “desbloqueado”, seja porque seu dono não ativou as configurações de segurança ou porque ele próprio “destravou” o aparelho alguns instantes antes. Pode ser que se diga que a supressão da expressão é inócua, porque o núcleo “invadir”, associado à elementar negativa da inexistência de autorização expressa ou tácita do titular, mantém o sentido original do tipo. Mas o fato é que uma elementar típica objetiva que restringia as hipóteses de configuração do crime foi retirada, o que, por óbvio, acabará facilitando o reconhecimento da sua prática.

A nova ideia transmitida pelo dispositivo é coerente: não há violação de domicílio apenas quando o agente viola fechaduras e rompe obstáculos, mas quando ele entra no local sem a autorização do proprietário, ainda que portas e janelas estejam escancaradas. Uma nova hipótese de configuração do crime, que pode suscitar dúvidas e deve ser analisada com cautela casuística, é a de o proprietário permitir que o agente acesse o aparelho ou dispositivo, mas com restrições de conteúdo que acabam sendo desrespeitadas pelo segundo. Por exemplo, pode ser que o dono do telefone deixe o agente usar determinados aplicativos (como jogos e navegadores da internet), mas que esse último acesse conversas do Whatsapp ou do Telegram, ou ainda que leia e-mails de uma conta que fica permanentemente “logada”. A prova do crime, em tais situações, está umbilicalmente atrelada à demonstração, por parte da vítima, de que houve clara imposição de limites que foram dolosamente ultrapassados, o que nem sempre será fácil.

A outra modificação observada no caput diz respeito às penas. Foram elevadas: passaram a ser de reclusão, de 1 a 4 anos, além da multa. O aumento da gravidade em relação ao apenamento anterior expressa-se mais na qualidade da sanção, que era de detenção e passou a ser de reclusão, do que no quantum, que tinha como máximo 3 anos e, agora, chega aos 4 anos. Ao estabelecer como pena a reclusão, dentre outros gravames, abre-se a possibilidade de que, mediante a devida fundamentação judicial, o regime inicial de cumprimento da pena seja o fechado, o que era impossível para a pena de detenção. De qualquer forma, tendo sido sabiamente mantida a pena mínima em 1 (um) ano, são cabíveis institutos importantes como a suspensão condicional do processo e o acordo de não persecução penal (respectivamente, arts. 89 da Lei 9.099/95 e 28-A do CPP).

O § 1º do art. 154-A foi mantido inalterado, mas seu § 2º sofreu modificação referente aos parâmetros de majoração da pena em caso de constatação de causação de prejuízo econômico como resultado da ação invasiva. A pena era elevada, em tais casos, de 1/6 a 1/3. Atualmente, a majoração é de 1/3 a 2/3. Sobre essa alteração, não há muito o que se dizer, a não ser que é clara manifestação político-criminal da ingênua crença de que o constante recrudescimento das penas implicará, per se, uma medida preventiva eficaz.

O § 3º, mantido intacto em seu preceito primário, também traz incremento (brutal) na pena, que passou dos 6 meses a 2 anos de reclusão para os 2 a 5 anos de reclusão. Difícil apresentar justificativa razoável para um aumento de 300% na pena mínima e 150% na máxima. Em termos de apenamento, aliás, a impressão que se tem é a de que é regido pela aleatoriedade.

Na modalidade da invasão (caput, primeira parte) o crime é formal e dispensa a produção de qualquer resultado naturalístico, mas as penas são as mesmas dirigidas a quem instala vulnerabilidades (vírus, malwares, spywares, protocolos de controle remoto), conduta prevista na segunda parte do caput e caracterizadora de crime material (não é preciso que a vantagem visada seja obtida, mas a instalação da vulnerabilidade deve ser concretizada). As penas são, também, as mesmas para quem, inclusive profissionalmente, produz, oferece, vende, distribui etc. hardware (equipamento) ou software (programa) destinado a viabilizar a prática das condutas descritas no caput. Essas penas aumentam-se de 1/3 a 2/3 se ocorre prejuízo econômico (ainda que sem ganho para o agente). Essa majorante pode facilmente conflitar, em casos concretos, com as novidades legislativas dos arts. 155, § 4º-B e 171, § 2º-A do Código Penal, destinadas, exatamente, a punir ganhos ilícitos obtidos por meio de invasões e fraudes pela via eletrônica.

Pior, no entanto, é a figura do § 3º, que mais parece uma “qualificação pelo resultado”, correspondente à obtenção de conteúdo de comunicações eletrônicas privadas (e-mails, mensagens escritas e dados audiovisuais), de segredos comerciais ou industriais, de outras informações sigilosas definidas pela lei ou de controle remoto não autorizado do dispositivo invadido. Como esses são, obviamente, os resultados típicos caracteristicamente perseguidos por quem pratica a conduta do caput, não teria sido melhor fazer dessa formulação do § 3º o modelo básico, punindo-se na modalidade tentada as violações que não tenham logrado êxito em alcançá-los? A tipificação de delitos formais, em um ordenamento que se considere regido pelos princípios da intervenção mínima e da ofensividade, deve ser excepcional.[1]

Por fim, vale frisar que o delito do art. 154-A será considerado residual em relação aos descritos nos arts. 155, § 4º-B e 171, § 2º-A do Código Penal, se a invasão do dispositivo informático se der com a específica finalidade de alcançar vantagens patrimoniais indevidas. Aplica-se o raciocínio da consunção, que determina que o crime-fim absorve o crime-meio quando aquele é um caminho natural para a prática desse último, e nesse segundo se esgota a lesividade do primeiro.

Notas e Referências

[1] Um exemplo de infração que deve ser tipificada como crime formal é o da corrupção passiva, art. 317, CP, em que se constata uma ofensa à probidade administrativa que deve ser punida mesmo sem que qualquer violação funcional tenha se concretizado, e sem que qualquer vantagem econômica tenha sido efetivamente recebida.