Punição de crimes cibernéticos em 2021: efeitos das alterações na “Lei Carolina Dieckmann”

A recente modificação no tipo penal de invasão de dispositivo informático pode ter efeitos adversos? Acompanhe uma breve reflexão inicial sobre o tema.

A punição dos crimes cibernéticos no Brasil até 2012

Por um período que se estendeu até o início da primeira década deste século,  o Brasil não possuía a definição específica de um crime de violação ou invasão de sistemas ou dispositivos digitais. Havia somente algumas determinações esparsas sobre crimes cibernéticos na Lei de Interceptações, alguns crimes cometidos por funcionários públicos contra a própria administração pública, além do reconhecimento da possibilidade de furtos e estelionatos por meios eletrônicos. Estávamos em uma fase inicial na definição e perseguição dos crimes cibernéticos.

Isso mudou no ano de 2012. Foi na esteira do caso do acesso indevido e posterior vazamento das fotos íntimas da atriz Carolina Dieckmann que o legislador brasileiro decidiu agir. Naquele momento, tanto a vítima quanto a sociedade em geral reconheceram a insuficiência dos crimes existentes até então para a punição de conduta considerada tão séria. Como era possível alguém ter sua intimidade violada desta forma e o Direito não possuir meios adequados para punir o ofensor? Nasceu aí a Lei 12.737/2012, informalmente conhecida como Lei Carolina Dieckmann, que criou o crime de invasão de dispositivo informático, conforme o art. 154-A do Código Penal, com pena inicial de detenção de 3 meses a 1 ano e multa. 

Os crimes cibernéticos pós 2012

Em que pese o fato do crime de invasão de dispositivo informático ter sido criado logo após uma situação de acesso indevido e posterior vazamento de fotos íntimas, ele também tinha a função de punir uma série de condutas distintas. Se esse não era o objetivo inicial, foi o que acabou acontecendo. Na falta de outro tipo penal específico, a invasão de dispositivo deveria servir para cobrir outras condutas, como, por exemplo, as fraudes digitais. Era um verdadeiro “ás” na lei penal para a punição dos crimes cibernéticos.

Note-se que desde 2012 o cenário dos crimes cibernéticos no Brasil e no mundo se alterou substancialmente. Não se trata somente do aumento na quantidade, mas também na “qualidade” dos referidos crimes. Desde então, os criminosos foram se especializando,  utilizando-se de engenharia social para enganar as vítimas e apostando também na insegurança endêmica dos sistemas informáticos. Os criminosos perceberam que o crime cibernético tem menos riscos do que os crimes comuns. Os crackers, como são chamados os criminosos virtuais, constataram que é menos arriscado furtar dinheiro de uma conta na Internet do que assaltar um banco fisicamente. Além disso, perceberam também que a natureza do próprio crime cibernético dificulta sua investigação pelos poderes do Estado. 

O crime de Invasão de Dispositivo Informático, portanto, permaneceu desde 2012 sem alteração. Reconhecia-se que as penas eram baixas e que era necessária uma atualização. Foi o que ocorreu: após quase 9 anos, a recente alteração de 2021 visou, além de alterar a invasão, aumentar as penas de alguns crimes cibernéticos já existentes, especificando e criando os crimes de furto mediante fraude eletrônica e de fraude eletrônica (ambos punidos com pena de 4 a 8 anos). Este último considera como crime o cometimento de fraude “com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo”. Destaca-se aí a punição do crime mesmo que a vítima voluntariamente “colabore” com o criminoso, fornecendo, por exemplo, ela mesma, as informações que serão usadas na fraude. Também há mais certeza em se conseguir punir as ações cometidas por meio de e-mails fraudulentos, os chamados phishings. Em um contexto de observância das garantias fundamentais (sobretudo a observância do devido processo legal), a alteração é bem-vinda. No entanto, houve outra modificação no tipo penal de invasão de dispositivo informático que merece nossa atenção.

A alteração no tipo penal de invasão de dispositivo informático

Voltemos, então, ao crime de invasão de dispositivo informático. Sua redação original, de 2012, era:

Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.

A Lei 14.155/2021, além de aumentar a pena, promoveu outra alteração importante que deve ser destacada: foi retirado o fragmento marcado em vermelho no texto acima. A partir de agora, é possível cometer o crime de violação de dispositivo informático mesmo sem a necessidade de violar um mecanismo de segurança. Aquela passagem da lei visava estabelecer um filtro para que só fossem puníveis atos contra estruturas e sistemas que contassem com um meio de proteção ativo.

Agora o cenário é outro. Caso uma empresa deixe públicos dados que deveriam estar protegidos (por erro, por exemplo), a “obtenção, adulteração ou destruição” dos dados sem autorização passará a ser punida (antes não poderia ser pela falta do mecanismo de segurança). Temos um tipo penal totalmente novo: aparentemente, a partir de agora, o mero acesso não autorizado, sem a necessidade de violação de mecanismo de segurança, já é passível de punição. Se não houver a necessidade de violação de mecanismo de segurança, basta a não autorização do responsável (e o dolo de obter, adulterar ou destruir) para que o acesso seja considerado criminoso. 

Isso é bom ou ruim? Depende.

Ainda temos presente o filtro da autorização. Alguém que consiga acessar dados que já estão públicos e os obtenha sem autorização (ou os adultera ou destrói), poderá ser punido (pelo menos em tese). Imaginando que realmente o autor do fato tenha intenção de prejudicar a empresa ou outras pessoas, a lei estará surtindo os efeitos desejados. Mas será que não poderá haver mau uso disso? Esse é justamente o perigo de tipos penais muito abertos, visto que podem prejudicar o chamado princípio da taxatividade da lei penal. Toda a sociedade tem a garantia de não ser submetida a tipos penais muito amplos, inespecíficos ou ambíguos. O risco é evidente.

Vamos sair um pouco deste contexto para que seja possível imaginar possíveis efeitos adversos. Pensemos no recente caso ocorrido na CPI da Covid. O jornalista Rodrigo Menegat, que publicou uma reportagem sobre os “desacertos” do aplicativo TrateCov, foi acusado em um dos depoimentos de ter realizado uma “extração ilícita” do código fonte do referido aplicativo. A referida “extração” nada mais foi do que o acesso ao código fonte de uma página na Internet. É algo que está acessível a qualquer visitante do site que saiba usar o botão direito do mouse. Diante desse fato, será que situações futuras de autuações de jornalistas que “incomodem” autoridades públicas não poderiam ser maliciosamente qualificadas como crime? A expansão do tipo penal, para cobrir ações potencialmente lícitas, não pode causar intensa insegurança jurídica? Será que o novo tipo penal não poderá ser usado para ameaçar a liberdade de expressão e de investigação de fatos pelo jornalismo? Trata-se do chamado chilling effect, tema já abordado aqui no blog do IRIS e que reaparece neste contexto.

Conclusão

Tentamos fazer aqui uma breve reflexão sobre uma modificação legal que define o crime de invasão de dispositivo informático. Mesmo diante da necessidade de atualização do tipo penal em questão, e do consequente aumento de pena, notou-se que a depender do contexto, esse novo tipo penal pode ser usado para finalidades imprevistas (e perigosas), quais sejam, a pressão ilegítima contra jornalistas ou até mesmo a ameaça. É provável que o legislador sequer tenha tido essa intenção (ou sequer tenha conseguido prever este efeito). Contudo, é preciso que fiquemos atentos sobre o potencial mau uso deste dispositivo. É por este motivo que alterações na lei penal devem ser muito bem calibradas e amplamente discutidas com a sociedade, sobretudo, quando a alteração puder prejudicar a liberdade de expressão e de imprensa.

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.