setembro 21, 2013

[Segurança] Nova Lei dos Crimes Cibernéticos na Reforma do Código Penal

No final de agosto, o senador Pedro Taques (PDT-MT), apresentou na Comissão Especial de Reforma do Código Penal o substitutivo ao Projeto de Lei do Senado (PLS) nº 236/2012 que trata das mudanças na legislação penal brasileira. O projeto de novo Código Penal (CP) representa uma oportunidade única para revisar a legislação existente sobre crimes cibernéticos criada pela Lei Carolina Dieckmann, incluindo situações criminosas que ela não aborda e corrigindo o texto referenente aos poucos casos que a lei, mal e porcamente, trata.

O PLS 236 traz um variado conjunto de crimes cibernéticos, tema que foi discutido por muitos anos no Congresso Nacional e que foi transformado em lei no final de 2012 (a chamada "Lei Carolina Dieckmann"), propondo tipos penais específicos para crimes cometidos contra computadores (isto é, "sistemas informáticos") como o acesso indevido a sistema informático e a sabotagem informática. Ou seja, o novo Código Penal focou principalmente nos chamados "crimes informáticos próprios", ou seja, aqueles tipos de crime que atacam o dado e o sistema informático em si - o que é diferente dos chamados "crimes impróprios", que são aquelas condutas que usam os sistemas informáticos como meio para realizar um crime comum.

A maioria destas leis sobre crimes cibernéticos foram colocadas em um capítulo específico, criado para este fim, que foi batizado de "Título VI – Dos Crimes Cibernéticos". O PLS 236 divide o CP em duas partes, uma Geral e uma Especial, sendo que o título específico para os crimes cibernéticos foi incluído na chamada "Parte Especial". E há várias novidades e melhorias importantes:
  • Para evitar má interpretação futura, neste título foram definidos alguns conceitos do mundo da informática e dos crimes informáticos próprios. Embora o CP normalmente não tenha definições de conceitos, eles foram incluídos no caso de crimes cibernéticos em razão dos aspectos técnicos envolvidos e do pouco conhecimento popular sobre o assunto, de modo a orientar a correta interpretação da lei. Estes conceitos são semelhantes aos existentes na Convenção de Budapeste.
  • O artigo sobre acesso indevido (Art. 209) melhora o art. 154-A da Lei Carolina Dieckmann: ele fala em "acesso" em vez de "invasão", exige dolo específico (a finalidade de destruir, adulterar ou obter dados ou instalar vulnerabilidade para obter vantagem indevida) e retira a exigência anterior de que o sistema informático seja "protegido" - algo que é facilmente questionável e pode desqualificar o computador de um usuário comum, que muitas vezes não conta com medidas de segurança adequadas.
  • No artigo que trata sobre a punição de quem produz, comercializa, manipula ou vende artefatos maliciosos, tivemos uma importante conquista: foram incluídos alguns excludentes para evitar a punição de profissionais, pesquisadores e desenvolvedores que trabalham com segurança e que investigam artefatos maliciosos para aperfeiçoamento dos sistemas de segurança.

Nesse Título sobre crimes cibernéticos, o PLS traz diversos crimes de acesso indevido e sabotagem informática. Além disso, inclui  a fraude informática e um novo tipo penal relacionado ao conceito de "dano", o crime de  dano a dados informáticos (art. 164). Há alguns outros tipos de crimes cibernéticos que são mencionados em outras partes do Projeto de Código Penal. Por exemplo, o capítulo sobre os crimes contra a inviolabilidade de correspondência (Capítulo VIII) também inclui a violação de comunicação eletrônica, pois trata nos mesmos parágrafos a violação de comunicação "telegráfica, telefônica ou eletrônica" (Artigo 158). No artigo 176 foi criada a figura do estelionato massivo, quando envolve um número expressivo de vítimas (algo muito comum no mundo online!).

O Projeto também define duas modalidades novas de crimes: a “perseguição obsessiva ou insidiosa”, conhecida como "stalking"(art. 154), e a “intimidação vexatória”, o conhecido bullying, que foi incluído no parágrafo 1 do artigo 144, que trata sobre difamação.

Sem mais delongas, segue abaixo o texto das leis contra o crime cibernético conforme aprovado pela Comissão Especial de Reforma do Código Penal:

PARTE ESPECIAL
TÍTULO VI
DOS CRIMES CIBERNÉTICOS

Conceitos
Art. 213. Para efeitos penais, considera-se:
I – “sistema informatizado”: computador ou qualquer dispositivo ou conjunto de dispositivos, interligados ou associados, em que um ou mais de um entre eles desenvolve o tratamento automatizado de dados informatizados através da execução de programas de computador, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informatizados armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos;
II – “dados informatizados”: qualquer representação de fatos, informações ou conceitos sob forma suscetível de processamento num sistema informatizado, incluindo programas de computador;
III – “provedor de serviços”: qualquer entidade, pública ou privada, que faculte aos utilizadores de seus serviços a capacidade de comunicação por meio de seu sistema informatizado, bem como qualquer outra entidade que trate ou armazene dados informatizados em nome desse serviço de comunicação ou de seus utentes;
IV – “dados de tráfego”: dados informatizados relacionados com uma comunicação efetuada por meio de um sistema informatizado, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o trajeto, a hora, a data, o tamanho, a duração ou o tipo de serviço subjacente;
V – “artefato malicioso”: sistema informatizado, programa ou endereço localizador de acesso a sistema informatizado destinados a permitir acessos não autorizados, fraudes, sabotagens, exploração de vulnerabilidades ou a propagação de si próprio ou de outro artefato malicioso;
VI – “credencial de acesso”: dados informatizados, informações ou características individuais que autorizam o acesso de uma pessoa a um sistema informatizado.

Acesso indevido
Art. 214. Acessar, indevidamente, por qualquer meio, direto ou indireto, sistema informatizado:
Pena – prisão, de um a dois anos.
Acesso indevido qualificado
§1º Se do acesso resultar:
I – prejuízo econômico;
II – obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais e industriais, arquivos, senhas, informações ou outros documentos ou dados privados;
III – controle remoto não autorizado do dispositivo acessado: Pena – prisão, de um a quatro anos.
§2º Se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos:
Pena – prisão, de dois a quatro anos.
Causa de aumento de pena
§3º Nas hipóteses dos §§ 1º e 2º, aumenta-se a pena de um a dois terços se houver a divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados, arquivos, senhas ou informações obtidas, se o fato não constituir crime mais grave.
Ação penal
§4º Somente se procede mediante representação, salvo na hipótese do § 2º deste artigo.

Sabotagem informática
Art. 215. Interferir sem autorização do titular ou sem permissão legal, de qualquer forma, na funcionalidade de sistema informatizado ou de comunicação de dados informatizados, causando-lhes entrave, impedimento, interrupção ou perturbação grave, ainda, que parcial:
Pena – prisão, de um a quatro anos.
§1º Na mesma pena incorre quem, sem autorização ou indevidamente, produz, mantém, vende, obtém, importa ou por qualquer outra forma distribui códigos de acesso, dados informáticos ou programas, destinados a produzir a ação descrita no caput.
§2º A pena é aumentada de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos: Pena – prisão, de dois a quatro anos.

Dano a dados informatizados
Art. 216. Destruir, danificar, deteriorar, inutilizar, apagar, modificar, suprimir ou, de qualquer outra forma, interferir, sem autorização do titular ou sem permissão legal, dados informatizados, ainda que parcialmente:
Pena – prisão de um a três anos.
Parágrafo único. Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.

Fraude informatizada
Art. 217. Obter, para si ou para outrem, em prejuízo alheio, vantagem ilícita, mediante a introdução, alteração ou supressão de dados informatizados, ou interferência indevida, por qualquer outra forma, no funcionamento de sistema informatizado:
Pena – de prisão, de um a cinco anos.
Parágrafo único. A pena aumenta-se de um terço se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime.

Obtenção indevida de credenciais de acesso
Art. 218. Adquirir, obter ou receber, indevidamente, por qualquer forma, credenciais de acesso a sistema informatizado:
Pena – prisão, de um a três anos.
Parágrafo único. Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.

Artefato malicioso
Art. 219. Constitui crime produzir, adquirir, obter, vender, manter, possuir ou por qualquer forma distribuir, sem autorização, artefatos maliciosos destinados à prática de crimes previstos neste Título, cuja pena será a prevista para o crime fim, sem prejuízo da aplicação das regras do concurso material.
Excludente de ilicitude
Parágrafo único. Não são puníveis as condutas descritas no caput quando realizadas para fins de:
I – investigação por agentes públicos no exercício de suas funções;
II - pesquisa acadêmica;
III – testes e verificações autorizadas de vulnerabilidades de sistemas; ou
IV – desenvolvimento, manutenção e investigação visando o aperfeiçoamento de sistemas de segurança.

É importante ressaltar que o Senador pedro Tarques submeteu o projeto para diversas entidades especializadas, e o capítulo sobre crimes cibernéticos foi avaliado também pelo Ministério Público Federal, que tem um grupo especializado em crimes cibernéticos, que é baseado em São Paulo. O Garoa Hacker Clube, através do Alberto Fabiano, ajudou o pessoal do MPF nesse trabalho de revisão, e as nossas sugestões foram incorporadas ao projeto, incluindo as definições no início da lei e a questão de exclusão de licitude no artigo sobre artefatos maliciosos.

O projeto de lei que reforma o Código Penal Brasileiro se baseou na legislação atual e incluiu também outras 140 proposições legislativas que versam sobre direito penal, sendo algumas delas também eram relacionadas aos crimes cibernéticos:
  • 18. PLS nº 21, de 2013, que altera o Decreto-Lei n° 2.848, de 7 de dezembro de 1940 - Código Penal, para tipificar o crime de prática do bullying virtual praticado pela internet ou por mensagens de celular, do Senador Clésio Andrade. Este Projeto não chegou a ser apreciado por qualquer Comissão. Além do mais, segundo a avaliação da comissão, "Todavia, julgamos que tais condutas não têm dignidade penal. É excessivo o uso do direito penal para lidar com esse tipo de conflito social. Portanto, julgamos que essa proposta, assim como a constante do Projeto de Código, não merecem seguir adiante."
  • 57. PLS nº 386, de 2011, que altera o Código Penal, para prever como modalidade qualificada do crime de difamação o ato de divulgação não autorizada de imagens ou vídeos por meio eletrônico que contenha cena de sexo ou qualquer forma de exposição de sua intimidade, conhecido como sexting, de autoria do Senador Blairo Maggi. O Projeto não chegou a ser apreciado por qualquer Comissão.
  • 65. PLS nº 427, de 2011, que altera o Código Penal para prever o crime de atentado contra a segurança de meio ou serviço de comunicação informatizado, de autoria do Senador Jorge Viana. O Projeto não chegou a ser apreciado por qualquer Comissão.
  • 72. PLS nº 481, de 2011, que altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal, para dispor sobre os crimes de constrangimento e de ameaça praticados por meio das redes sociais presentes na rede mundial de computadores – Internet, de autoria do Senador Eduardo Amorim. O Projeto foi sensível a questão da calúnia, injúria ou difamação praticadas pela Internet e previu causa de aumento de pena, dado o efeito multiplicador proporcionado pelo meio cibernético.
  • 74. PLS nº 484, de 2011, que altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal, para dispor sobre os crimes de calúnia, difamação e injúria praticados na rede mundial de computadores – Internet, de autoria do Senador Eduardo Amorim. A proposta foi incorporada ao substitutivo oferecido pela CCT ao PLS nº 481, de 2011.
  • 79. PLS nº 567, de 2011, que estabelece causa de aumento de pena para os crimes contra a honra praticados por meio da Internet e prevê prazo mínimo de dois anos para o armazenamento dos dados pelo provedor da conexão, de autoria do Senador Blairo Maggi. Segundo o relatório do Senador Pedro Tarques, estas regulações sobre a guarda de logs vão além da matéria penal e que devem ser feitas pelo órgão regulador desse setor.
  • 134. PLS nº 101, de 2011, que altera o Código Penal para criminalizar a criação de identidade ou perfil falsos na internet e outras condutas equiparadas, de autoria do Senador Ciro Nogueira. O Projeto não chegou a ser apreciado por qualquer Comissão, mas estas condutas estão atendidas nos crimes de fraude informática (art. 170) e de falsa identidade (art. 268).
A íntegra do parecer foi disponibilizada no site do Senador Pedro Taques, que foi o relator na comissão do Senado responsável pela revisão do projeto de lei que reforma o Código Penal Brasileiro, de autoria do Senador José Sarney.

Um comentário:

Anônimo disse...

Esse é um dos melhores artigos que li sobre o tema. Te aconselho a pública-lo com a devida autoria para que receba o reconhecimento por tal publicação.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.