Em recente decisão proferida pelo juiz federal Ricardo Augusto Soares Leite, da 10ª Vara Federal Criminal do Distrito Federal, o “hacker” Walter Delgatti Neto, juntamente com outros réus, foi condenado à pena de 20 (vinte) anos e 1 (um) mês de reclusão, a ser descontada em regime fechado, além do pagamento de 736 (setecentos e trinta e seis) dias-multa.
A condenação se deu em ação penal derivada da operação "spoofing", deflagrada pela Polícia Federal para apuração da invasão de dispositivos informáticos (telefones celulares) de diversas autoridades e pessoas politicamente expostas.
A acusação e consequente condenação, da qual ainda cabe recurso, foi pela prática dos crimes de violação de dispositivo informático (art. 154-A, §§ 3º e 5º, III e IV do Código Penal), interceptação de comunicações telefônicas, de informática ou telemática (art. 10 da Lei n. 9.296/96), organização criminosa (art. 2º da Lei n. 12.850/13) e lavagem ou ocultação de bens, direitos ou valores (art. 1º da Lei n. 9.613/98).
Nesse aspecto, vale ressaltar que o crime de invasão de dispositivo informático, previsto no art. 154-A do Código Penal, com as alterações da Lei n. 14.155/21, que o tornou mais grave em suas diversas modalidades, é uma das infrações penais que mais tem gerado desassossego social.
A dependência cada vez maior das pessoas em relação a dispositivos informáticos, como celulares e smartphones, é um fenômeno que tem se intensificado nas últimas décadas. Essa dependência cibernética pode ser atribuída a uma série de fatores, incluindo avanços tecnológicos, facilidade de acesso à informação e funcionalidades crescentes desses dispositivos.
No entanto, essa crescente dependência cibernética também traz consigo uma série de preocupações e desafios relacionados à privacidade e à segurança dos dados pessoais.
Os dispositivos informáticos tornaram-se uma parte essencial da vida moderna. Eles são usados para comunicação, entretenimento, trabalho, compras e muito mais. A dependência cibernética é, em grande parte, resultado da conveniência que esses dispositivos oferecem.
Ademais, muitas pessoas armazenam uma quantidade significativa de informações pessoais em seus dispositivos, incluindo fotos, vídeos, contatos, calendários, registros de localização e muito mais. Esses dados podem ser alvos para “hackers” e criminosos cibernéticos se não forem adequadamente protegidos.
Com relação especificamente ao crime de invasão de dispositivo informático, cumpre lembrar que o art. 154-A foi inserido no Código Penal pela Lei n. 12.737/12, que dispôs sobre a tipificação criminal de delitos informáticos e foi apelidada de “Lei Carolina Dieckmann”, em alusão à famosa atriz brasileira que, em maio de 2012, teve fotos íntimas publicadas indevidamente na Internet, captadas por “hackers” que invadiram seu computador e passaram a exigir dinheiro para não tornar públicas as imagens pela rede mundial de computadores. Até então não havia, no Brasil, nenhum tipo penal que se adequasse especificamente ao fato ocorrido, ou seja, à invasão do dispositivo informático e à captação irregular de imagens, dados e informações. No ano de 2021, o tipo penal sofreu modificações e a atual redação do dispositivo, dada pela Lei n. 14.155/21, passou a ser a seguinte:
“Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita:
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
§ 2º Aumenta-se a pena de 1/3 (um terço) a 2/3 (dois terços) se da invasão resulta prejuízo econômico.
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 2 (dois) a 5 (cinco) anos, e multa.
§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I - Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.”
A norma penal visa tutelar o sigilo dos dados ou informações constantes de dispositivo informático, que devem ser protegidos e preservados.
Sujeito ativo do crime pode ser qualquer pessoa. Sujeito passivo também pode ser qualquer pessoa. Sendo vítimas as pessoas enumeradas no § 5º, que permaneceu intacto, a pena é aumentada de 1/3 (um terço) à metade.
A conduta típica vem representada pelo verbo “invadir”, que significa devassar, ingressar sem autorização. No crime em tela, o verbo “invadir” tem a conotação de acessar sem autorização, penetrar nos arquivos ou programas do dispositivo informático alheio.
Na redação anterior do tipo penal a invasão deveria ser executada “mediante violação indevida de mecanismo de segurança”, exigência que foi eliminada pela Lei n. 14.155/21. Anteriormente, o crime não se configurava se a vítima deixasse, por exemplo, o seu computador, “tablet” ou “smartphone” ligado ou desbloqueado e alguém acessasse seus dados indevidamente, ou mesmo se a vítima fornecesse a sua senha para terceiro que, aproveitando-se da situação, obtivesse, adulterasse ou destruísse dados ou informações indevidamente. Agora, essas mesmas condutas passaram a configurar o crime em comento, uma vez prescindível que haja violação indevida de mecanismo de segurança.
Outra atualização digna de nota, trazida pela Lei n. 14.155/21, se refere à propriedade do dispositivo informático. A redação anterior falava em “dispositivo informático alheio”, indicando que o sujeito ativo deveria violar um dispositivo pertencente a outra pessoa. A redação atual emprega a expressão “dispositivo informático de uso alheio”, indicando que o crime se configura ainda que o sujeito ativo viole o seu próprio dispositivo informático, de sua propriedade, que esteja sendo utilizado pela vítima a qualquer título (empréstimo, por exemplo). Logo, o sujeito ativo pode ser o próprio dono do dispositivo.
Além disso, o tipo penal requer a finalidade específica (elemento subjetivo específico) do agente de obter, adulterar ou destruir dados ou informações, ou, ainda, de instalar vulnerabilidades (vírus, programas invasores etc) visando à obtenção de vantagem ilícita.
A consumação ocorre com a invasão do dispositivo informático, independentemente da efetiva obtenção, adulteração ou destruição dos dados ou informações, ou da efetiva instalação de vulnerabilidades para obter vantagem ilícita. Trata-se de crime formal. A tentativa é admitida.
Com relação à reprimenda, a pena, que anteriormente era de detenção de 3 (três) meses a 1 (um) ano e multa, passou a ser de reclusão de 1 (um) a 4 (quatro) anos e multa. Portanto, não se trata mais de infração penal de menor potencial ofensivo, escapando da alçada da Lei n. 9.099/95.
O § 1º permaneceu inalterado, prevendo figuras equiparadas ao “caput”.
No §2º, o aumento de pena para a invasão da qual resulte prejuízo econômico passou de 1/6 (um sexto) a 1/3 (um terço) para 1/3 (um terço) a 2/3 (dois terços).
Com relação à qualificadora prevista no §3º, se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido, a pena que era de reclusão de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constituísse crime mais grave, passou a ser de reclusão de 2 (dois) a 5 (cinco) anos e multa.
Inclusive, nesse último caso, aumenta-se a pena de 1/3 (um terço) a 2/3 (dois terços) se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos, tendo o §4º permanecido inalterado pela nova lei.
Por fim, a Lei n. 14.155/21 não modificou a regra da ação penal, que continua a ser pública condicionada à representação do ofendido, com exceção dos casos em que o crime for cometido contra a Administração Pública direta ou indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios ou contra empresas concessionárias de serviços públicos, quando, então, será pública incondicionada.
Por fim, é conveniente ressaltar que, para mitigar os riscos de exposição a ameaças cibernéticas, como “phishing”, “malware” e roubo de identidade, dentre outros, é fundamental que as pessoas adotem boas práticas de segurança cibernética, como o uso de senhas fortes, autenticação de dois fatores, atualizações regulares de software e a conscientização sobre ameaças on-line. Além disso, a regulamentação governamental e a transparência por parte das empresas de tecnologia também desempenham um papel importante na proteção da privacidade do usuário. A educação sobre segurança cibernética e o pensamento crítico em relação ao compartilhamento de informações pessoais também são cruciais para enfrentar os desafios que surgem com a crescente dependência de dispositivos informáticos.
Imagem Ilustrativa do Post: Orange // Foto de: Nick Douglas // Sem alterações
Licença de uso: https://creativecommons.org/publicdomain/mark/2.0/