Resumo: o presente artigo tem a finalidade
de apresentar uma análise detalhada do crime de INVASÃO DE DISPOSITIVO
INFORMÁTICO (CP, art. 154-A), visando possibilitar aos operadores do
direito uma reflexão sobre a eficácia do dispositivo legal e para que
possamos, efetivamente, fazer valer os direitos de inúmeras vítimas que
sofrem violação criminosa de seus dados ou informações armazenadas em
seus computadores,
smartphones,
tablets,
pendrives etc.
Sumário: 1. Introdução – 2. Classificação
doutrinária – 3. Objetos jurídico e material – 4. Sujeitos do delito –
5. Conduta típica – 6. Elementos normativos do tipo – 7. Elemento
subjetivo – 8. Consumação e tentativa – 9. Figura típica equiparada –
10. Figuras típicas qualificadas – 11. Causas de aumento de pena – 11.1
Aumento de pena sobre as figuras simples e equiparada – 11.2 Aumento de
pena sobre as figuras qualificadas – 12. Pena e ação penal.
1. Introdução
A recente Lei 12.737, de 30 de novembro de 2012, publicada no DOU de 3
de dezembro do mesmo ano, tipificou um novo crime denominado Invasão de
Dispositivo Informático, previsto no art. 154-A, do Código Penal, que
entrará em vigor após 120 dias de sua publicação oficial, ou seja, em 3
de abril de 2012.
Mesmo antes de a referida lei ser publicada e sancionada, o
respectivo Projeto de lei nº 35/2012 já havia recebido o apelido de
“Carolina Dieckmann”, em razão da repercussão do caso amplamente
divulgado pela mídia no qual a atriz brasileira (reconhecida por suas
atuações em diversas telenovelas e seriados da Rede Globo) teve seu
computador invadido e seus arquivos pessoais subtraídos, inclusive com a
publicação de fotos íntimas que rapidamente se espalharam pela internet
através das redes sociais. Conseqüentemente, o fato gerou intensa
pressão social para a criminalização, em regime de urgência, dessas
condutas que até então não eram previstas como crime em espécie pelo
Código Penal.
A área da informática foi a que mais evoluiu nos últimos anos
exigindo-se do direito o devido acompanhamento das mudanças ocorridas na
sociedade, especialmente em relação à prática de novos ilícitos
fisionomicamente alterados pela sofisticação tecnológica. Na atualidade,
grande parte das pessoas depende de seus dispositivos informáticos
(computadores, discos externos,
smartphones, celulares comuns,
tablets,
pendrives
etc.), onde são armazenados dados e informações pessoais (contas e
senhas bancárias, fotos, vídeos, arquivos de áudio, correspondências em
geral etc.) que estão cada vez mais sujeitos a violações criminosas.
O crime de invasão de dispositivo informático consiste no fato de o
agente “invadir dispositivo informático alheio, conectado ou não à rede
de computadores, mediante violação indevida de mecanismo de segurança e
com o fim de obter, adulterar ou destruir dados ou informações sem
autorização expressa ou tácita do titular do dispositivo ou instalar
vulnerabilidades para obter vantagem ilícita” (CP, art. 154-A,
caput).
2. Classificação doutrinária
Trata-se de crime
comum (aquele que pode ser praticado por qualquer pessoa)
, plurissubsistente (costuma se realizar por meio de vários atos),
comissivo (decorre
de uma atividade positiva do agente: “invadir”, “instalar”) e,
excepcionalmente, comissivo por omissão (quando o resultado deveria ser
impedido pelos garantes – art. 13, § 2º, do CP),
de forma vinculada (somente pode ser cometido pelos meios de execução descritos no tipo penal) ou de
forma livre (pode ser cometido por qualquer meio de execução), conforme o caso,
formal (se consuma sem a produção do resultado naturalístico, embora ele possa ocorrer),
instantâneo (a consumação não se prolonga no tempo),
monossubjetivo (pode ser praticado por um único agente),
simples (atinge um único bem jurídico, a inviolabilidade da intimidade e da vida privada da vítima).
3. Objetos jurídico e material
O objeto jurídico do crime de invasão de dispositivo informático é a
inviolabilidade da intimidade e da vida privada, consistente no
resguardo dos dados e informações armazenadas em dispositivo informático
da vítima. Trata-se de um direito fundamental constitucionalmente
assegurado, nos seguintes termos: “são invioláveis a intimidade, a vida
privada, a honra e a imagem das pessoas, assegurando o direito de
indenização pelo dano material ou moral decorrente de sua violação” (CP,
art. 5º, X).
Constituem em objeto material do delito: (1) os dados e as
informações armazenadas em dispositivo informático da vítima e que
tenham sido obtidas, adulteradas ou destruídas em razão da conduta
criminosa do agente; (2) o próprio dispositivo informático da vítima na
hipótese de o agente instalar vulnerabilidades para obter vantagem
ilícita.
Os termos
dados ou
informações foram utilizados
pelo legislador como sinônimos e de forma ampla para significar tudo
aquilo que a vítima possa armazenar em um dispositivo informático
(exemplos: contas e senhas bancárias, fotos, vídeos, arquivos de áudio,
correspondências em geral etc.). Da mesma forma,
dispositivo informático significa qualquer
hardware
(parte sólida de um dispositivo informático específico ou assemelhado)
capaz de armazenar dados e informações (exemplos: computadores, discos
externos,
smartphones, celulares comuns,
pendrives etc.).
4. Sujeitos do delito
A invasão de dispositivo informático é crime comum, assim, o sujeito
ativo pode ser qualquer pessoa, uma vez que o tipo penal não exige
nenhuma qualidade especial do agente. Sujeito passivo é a pessoa que
pode sofrer dano material ou moral em conseqüência da indevida obtenção,
adulteração ou destruição de dados e informações em razão da invasão de
dispositivo informático, ou decorrente da instalação no mesmo de
vulnerabilidades para obter vantagem ilícita, seja seu titular ou até
mesmo um terceiro.
5. Conduta típica
O núcleo do tipo penal está representado pelos verbos
invadir (entrar, tomar conhecimento ou acessar sem permissão) e
instalar
(baixar, copiar ou salvar sem permissão), tendo como objeto material os
dados e informações armazenadas bem como o próprio dispositivo
informático da vítima que sofre a invasão ou a instalação de
vulnerabilidades. É indiferente o fato de o dispositivo estar ou não
conectado à rede interna ou externa de computadores (
intranet ou
internet).
Trata-se de tipo misto alternativo, onde o agente responde por crime
único se, no mesmo contexto fático, praticar uma ou as duas condutas
típicas (invadir e instalar).
Na primeira conduta (invadir) dispositivo informático o crime é de
forma vinculada, assim, somente pode ser praticado mediante violação
indevida de mecanismo de segurança. Aqui, com o auxílio da interpretação
teleológica (com base na finalidade da lei), há importante aspecto a
ser observado: Existem situações em que o técnico de informática, no
desempenho de sua atividade profissional, é obrigado a burlar (driblar) o
mecanismo de segurança do dispositivo informático (a senha, a trava de
segurança, o
firmware que impede o acesso ao código fonte e outros dados do
software
do dispositivo etc.) e, desta forma, uma vez que a violação é
necessária, evidentemente, deixa de ser indevida. Entretanto, entendemos
estar caracterizado o delito em estudo se o agente, após a violação
necessária, mesmo sem ter invadido o dispositivo, dolosamente, obter,
adulterar ou destruir dados ou informações sem autorização expressa ou
tácita da vítima.
Na segunda conduta (instalar) vulnerabilidades o crime é de forma
livre (pode ser cometido por qualquer meio de execução). Com a mesma
interpretação teleológica, observa-se que a finalidade da lei é a de
proteger, direta ou indiretamente, dos dados e informações armazenadas
em dispositivo informático da vítima. Assim, entendemos estar
caracterizado o delito em estudo, independentemente de ter o agente
invadido ou não o dispositivo informático alheio, caso instale no mesmo
vulnerabilidades (que pode tornar o dispositivo facilmente sujeito a
violações), com a finalidade específica de obter vantagem ilícita
(ilegal, contrária ao direito).
6. Elementos normativos do tipo
Para configurar o delito de invasão de dispositivo informático
exige-se uma avaliação do significado jurídico ou social, dos seguintes
elementos normativos do tipo: (1)
Alheio – é necessário que o dispositivo informático seja alheio, ou seja, de outrem, de terceiro; (2)
Sem autorização
– é necessário que a violação (indevida ou não) de mecanismo de
segurança não tenha sido precedida de autorização expressa ou tácita do
titular do dispositivo. Assim, se o dispositivo informático não for
alheio, ou seja, se for próprio ou coisa abandonada (
res derelicta), ou se a conduta típica foi precedida de autorização do seu titular, não haverá crime por ausência de tipicidade do fato.
7. Elemento subjetivo
É o dolo, consistente na vontade livre e consciente de invadir
dispositivo informático alheio, mediante violação indevida de mecanismo
de segurança ou de instalar no mesmo vulnerabilidades, tornando-o
desprotegido, facilmente sujeito a violações. Exigem-se, ainda, os
elementos subjetivos específicos (finalidades específicas) representados
pelas expressões “com o fim de obter, adulterar ou destruir dados ou
informações” e “para obter vantagem ilícita”. Assim, se ausentes essas
finalidades específicas, ou se outra for a intenção do agente, o fato é
atípico em relação ao delito em estudo. O tipo penal não admite a
modalidade culposa.
8. Consumação e tentativa
A invasão de dispositivo informático é crime formal (ou de consumação
antecipada), que se consuma sem a produção do resultado naturalístico
consistente na efetiva obtenção, adulteração ou destruição de dados ou
informações da vítima, que se houver, constitui no simples exaurimento
do crime. Consuma-se, portanto, no momento em que o agente invade o
dispositivo informático da vítima, mediante violação indevida de
mecanismo de segurança, ou instala no mesmo vulnerabilidades, tornando-o
facilmente sujeito a violações. Trata-se de crime instantâneo, cuja
consumação não se prolonga no tempo. A tentativa é possível por se
tratar de crime plurissubsistente.
9. Figura típica equiparada
Nos termos do § 1º, do art. 154-A, do Código Penal, na mesma pena
incorre (detenção, de três meses a um ano, e multa) quem “produz,
oferece, distribui, vende ou difunde dispositivo ou programa de
computador com o intuito de permitir a prática da conduta definida no
caput”.
O núcleo do tipo penal está representado pelos verbos:
produzir (fabricar, originar, fazer aparecer),
oferecer (expor, exibir ou propor para que seja aceito),
distribuir (dar, entregar, transmitir),
vender (alienar, dispor ou ceder por certo preço) e
difundir
(transmitir, espalhar, propagar), tendo como objeto material algum
dispositivo ou programa de computador com o intuito de permitir a
invasão de dispositivo informático alheio e praticar as mesmas condutas
previstas no
caput (obter, adulterar ou destruir dados ou informações, ou instalar vulnerabilidades).
10. Figuras típicas qualificadas
O § 3º, do art. 154-A, do Código Penal, define o crime de invasão de dispositivo informativo qualificado. O crime é
qualificado
quando ao tipo penal básico é acrescentada alguma circunstância
específica que o torna mais grave, alterando o mínimo e o máximo das
penas previstas em abstrato.
Assim, enquanto a figura simples ou equiparada (tipo básico) tem pena
de detenção, de três meses a um ano, e multa, as figuras qualificadas
em razão das circunstâncias específicas têm pena de reclusão, de seis
meses a dois anos, e multa. São figuras expressamente subsidiárias, uma
vez que o legislador após descrever a sanção penal, impõe: “se a conduta
não constitui crime mais grave”. São duas as figuras qualificadas, a
saber:
(a)
Se da invasão resultar a obtenção de conteúdo de
comunicações eletrônicas privadas, segredos comerciais ou industriais,
informações sigilosas, assim definidas em lei – São três hipóteses:
(1) obtenção de conteúdo (ou simples conhecimento do teor) de
comunicações eletrônicas, como, por exemplo: do Correio Eletrônico (
e-mail) e do SMS (
Short Messaging Service),
por meio dos quais é possível enviar e receber mensagens de texto,
imagens, vídeos e clipes de áudio etc.; (2) obtenção de segredos
comerciais ou industriais (exemplos: fórmulas, desenhos industriais e
estratégias para lançamento de produtos); (3) obtenção de informações
sigilosas, assim definidas em lei (norma penal em branco). Tratando-se
de violação de sigilo bancário ou de instituição financeira (Lei
7.492/86, art. 18), o crime é mais grave (reclusão, de um a quatro anos,
e multa) e, assim, o agente responde por esse e não pelo delito de
invasão de dispositivo informático qualificado em estudo.
(b)
Se da invasão resultar o controle remoto não autorizado do dispositivo – Existem diversos programas (
softwares) que permitem controlar um computador à distância (via
internet
ou rede interna), por meio de outro computador ou até mesmo pelo
telefone celular, como se estivesse exatamente na frente dele. Na
linguagem técnica de informática, o dispositivo informático do agente
passa a se denominar
guest (hóspede, convidado), e o da vítima
host
(hospedeiro, anfitrião). Essa figura qualificada ocorre quando, após a
invasão, o agente instala um programa para acesso e controle remoto do
dispositivo, sem a autorização da vítima.
11. Causas de aumento de pena
Nos termos dos §§ 2º, 4º e 5º, do art. 154-A, do Código Penal,
existem duas espécies de causas de aumento de pena, sendo que uma delas
incide sobre as figuras simples e equiparada (tipo básico), e a outra
incide sobre as figuras qualificadas, a saber:
11.1 Aumento de pena sobre as figuras simples e equiparada
Nos termos do § 2º, do art. 154-A, do Código Penal, a pena é
aumentada de um sexto a um terço se da invasão resulta prejuízo
econômico. Entende-se por prejuízo econômico aquele que resulta em perda
material ou financeira. Desta forma, se o prejuízo for exclusivamente
de caráter moral, não haverá incidência dessa causa de aumento.
11.2 Aumento de pena sobre as figuras qualificadas
Nos termos do § 4º, do art. 154-A, do Código Penal, a pena é aumentada de um a dois terços se houver
divulgação (propagação, tornar público ou notório),
comercialização (atividade relacionada à intermediação ou venda) ou
transmissão (transferência) a terceiros, a qualquer título, dos dados ou informações obtidos.
Nos termos do § 5º, do art. 154-A, do Código Penal, a pena é
aumentada de um terço à metade se o crime for praticado contra: (1)
Presidente da República, governadores e prefeitos; (2) Presidente do
Supremo Tribunal Federal; (3) Presidente da Câmara dos Deputados, do
Senado Federal, de Assembléia Legislativa de Estado, da Câmara
Legislativa do Distrito Federal ou de Câmara Municipal; (4) Dirigente
máximo da administração direta e indireta, federal, estadual, municipal
ou do Distrito Federal.
12. Pena e ação penal
|
PENA DO CRIME DE INVASÃO DE DISPOSITIVO INFORMÁTICO
Artigo 154-A do Código Penal
|
|
FIGURA TÍPICA
|
FUNDAMENTO
|
ESPÉCIE DE PENA
|
QUANTIDADE
|
| Simples |
(caput)
|
Detenção e multa
|
De 3 meses a 1 ano
|
| Figura típica equiparada |
§ 1º
|
| Figuras típicas qualificadas |
§ 3º
|
Reclusão e multa
|
De 6 meses a 2 anos
|
|
AUMENTO
DE
PENA
|
Sobre as figuras
simples e equiparada
|
§ 2º
|
Aumento de um sexto a um terço
sobre as penas das figuras
simples e equiparada
|
|
Sobre as figuras qualificadas
|
§ 4º
|
Aumento de um a dois terços
sobre as penas das figuras qualificadas
|
|
§ 5º
|
Aumento de um terço à metade
sobre as penas das figuras qualificadas
|
Nas figuras simples e equiparada (com pena aumentada ou não) e
qualificadas, em razão da pena máxima não ser superior a dois anos,
constitui infração de menor potencial ofensivo, sendo possível a
conciliação e a transação penal (Lei 9.099/95, arts. 61, 72 e 76).
As figuras qualificadas, com eventuais aumento de pena, em razão da
pena mínima cominada não restar superior a um ano, o delito pertence ao
rol das infrações penais de médio potencial ofensivo, sendo possível a
suspensão condicional do processo, se presentes os demais requisitos
legais (Lei 9.099/95, art. 89).
A ação penal, em regra, é condicionada à representação, salvo se o
crime é cometido contra a administração pública direta ou indireta de
qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios
ou contra empresas concessionárias de serviços públicos, hipóteses em
que a ação será pública incondicionada (CP, art. 154-B).
