LEI DOS DELITOS INFORMÁTICOS: A invasão de sistemas e o acesso não autorizado a informações


Em 3 de dezembro de 2012, foi promulgada a Lei 12.737, a qual entrou em vigor em 03 de abril de 2013, e que altera o vigente Código Penal brasileiro, para acrescentar novas previsões de crimes informáticos.  

A Lei, que teve a sua edição amplamente divulgada na mídia brasileira, trouxe à tona a discussão acerca dos crimes informáticos e como esta matéria tem sido tratada pelo judiciário com a legislação em vigor, motivo pelo qual editaremos uma série de artigos analisando os aspectos jurídicos das disposições da nova lei, a iniciar pela sua primeira tipificação.






I) A invasão de dispositivo informático

O primeiro artigo inserido no Código Penal, sob o número 154-A, o qual foi inserido no sistema jurídico brasileiro sob a seguinte redação:


Invasão de dispositivo informático  
Art. 154-A. Invadir sistema informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.


Observa-se que o simples ato de invadir dispositivo informático alheio não configura crime, para tanto, a invasão deve acontecer mediante a violação indevida de mecanismo de segurança e, necessariamente, ter a finalidade de obtenção, adulteração ou destruição de dados ou informações, sem autorização, posto que, faltando algum destes aspectos fundamentais de configuração, não há que se falar em crime.


Quanto à violação do sistema de segurança, já há alguma discussão entre juristas sobre a necessidade de tais mecanismos constituírem ferramentas lógicas de proteção, tais como firewalls, ou se o emprego de senha no sistema informático já é suficiente.


Ocorre que a lei é ampla quando aborda a questão, não especificando que tipo de mecanismos de segurança considera, bem como não define violação. Neste sentido, o espaço para diferentes interpretações está aberto, pelo que aguardaremos, ansiosos, as futuras decisões judiciais.


Não nos parece razoável a exigência de adoção, pela vítima, de sofisticados recursos informáticos de proteção, uma vez que não é da utilização normal dos dispositivos informáticos a sua invasão. Dessa forma, entendemos que as aplicações mínimas de segurança inerentes aos sistemas informáticos, tais como antivírus e firewall integrados já deveriam constituir proteção suficiente para ensejar a exigida “violação de mecanismo de segurança”.


Outro aspecto relevante é que paralelamente à invasão mediante violação de mecanismo de segurança, o agente deve possuir a consciência e a vontade, ou seja, a intenção de produzir o resultado “obter, adulterar ou destruir dados ou informações”.


Portanto, concluímos que o ato de invadir um sistema informático alheio mediante violação de mecanismo de segurança sem que o agente obtenha para si tais dados, nem os adultere ou destrua, não é considerado crime, de acordo com o disposto no texto legal.


No entanto, a lei não define o que vem a ser a obtenção de dados. Pelo que se pode considerar obtenção como o simples ato de tomar para si. Não havendo cópia dos dados ou informações, não haveria, em tese, que se falar em crime.


Mas e o armazenamento temporário de dados acessados pelo computador? Não configurariam a obtenção dos dados, pois se trata de armazenamento automático, desprovido do dolo específico (a intenção e vontade de cometer o ilícito), necessário à configuração do crime.


A pena prevista para o tipo penal em análise é de detenção de 3 meses a um ano, e multa. 

No próximo artigo, trataremos da análise de aspectos relacionados à instalação de vulnerabilidades para obtenção de vantagens ilícitas.