Hackeamento: o que falta à legislação na proteção contra ataques cibernéticos?

É por isso que a pergunta que deverá orientar as considerações a seguir é: o que realmente é necessário modificar na legislação penal brasileira – se, de fato, algo deve ser modificado – no que se refere ao combate à prática de ataques hackers? Uma resposta parcial pode ser já adiantada: muita coisa, exceto o que os mencionados projetos legislativos propõem.

Quando se trata de um ataque hacker, em geral, consistente no acesso indevido a um determinado dispositivo informático com a finalidade de obter, adulterar ou destruir dados ou informações ou, ainda, de impedir ou dificultar o funcionamento de um sistema telemático, entram em cena os dispositivos previstos nos artigos 154-A, 154-B e 266, do Código Penal.

Todos foram inseridos no Código Penal apenas em 2012, com a promulgação da Lei nº 12.737/2012. Assim, enquanto dezenas de países já aderiam à Convenção de Budapeste (Convenção sobre o Cibercrime, que prevê medidas de combate, prevenção e cooperação internacional contra a cibercriminalidade)[4], em vigência desde 2004 e, internamente, já previam tipos penais semelhantes, o Brasil apenas veio a criminalizar estas formas de ataque há pouco mais de 8 anos – e o fez de uma forma bastante discutível.

O que importa, nesta oportunidade, como dito, é verificar se, de fato, há razões para uma alteração legislativa e quais disposições ela deveria trazer. Vou concentrar minha atenção no tipo do artigo 154-A, do Código Penal, que trata da conduta de invasão a dispositivo informático.

A rubrica do tipo penal nos dá a falsa impressão de que a atenção do legislador estaria centrada no dispositivo informático, conectado ou não à rede de computadores. Uma observação mais atenta dos demais dispositivos e dos próprios elementos subjetivos exigidos no caput do artigo 154-A, no entanto, permite concluir que o que se protege é a segurança dos dados armazenados em um dispositivo informático.

A redação do caput explicita isso prevendo que a finalidade do agente responsável pelo ataque deve ser ou “obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo” ou “instalar vulnerabilidades, para obter vantagem indevida”.[5]

Também a forma qualificada prevista no §3º e a causa de aumento de pena prevista no §4° denotam o mesmo: as penas são mais graves para as hipóteses de obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas assim definidas em lei ou o controle remoto do dispositivo invadido[6], e para as hipóteses de divulgação, comercialização ou transmissão dos dados a terceiros.

Ou seja, diferentemente de alguns países, o Brasil não criminalizou o “mero hackeamento” (ou hackeamento em sentido estrito).

Isto é, a conduta que tenha como finalidade, por exemplo, saciar a curiosidade do hacker ou satisfazer seu ego diante do sucesso da invasão: a simples invasão do dispositivo, ainda que permita o acesso aos dados, não está contemplada pelo tipo.[7]

Sobre este ponto, é cabível uma primeira valoração: será o caso de criminalizar também a simples invasão, sem a finalidade de obtenção, adulteração ou destruição de dados? Penso que uma resposta definitiva deve, ao menos, considerar duas perspectivas.

De um lado, é necessário considerar se a proteção penal é necessária. O acesso indevido a um dispositivo com violação a mecanismos de segurança, ainda que o agente não tome conhecimento do conteúdo dos dados armazenados, pode abrir a possibilidade de lesão à imagem do titular do dispositivo pela perda de confiança na integridade e confiabilidade em seus sistemas (pense-se em uma empresa que se dedique ao armazenamento e tratamento de dados, um banco ou um órgão público), ou mesmo de sujeitá-lo a novos ataques futuros, caso o agente venha a tornar pública a invasão bem sucedida.

De outro lado, no entanto, é preciso considerar que a criminalização do simples acesso indevido, sem intenção de obtenção, adulteração ou destruição dos dados, equipararia condutas com conteúdo de injusto significativamente distinto, o que tornaria necessário prever limitações ao alcance da norma.[8]

Um outro ponto que merece reflexão é: entes coletivos podem ser sujeitos passivos do crime do at. 154-A? Aquele que se detenha à letra da lei, responderá que sim, afinal, o artigo 154-B prevê que as condutas praticadas contra a Administração Pública direta ou indireta de quaisquer Poderes da União, estados, Distrito Federal ou municípios ou contra empresas concessionárias de serviços públicos, são de ação pública incondicionada; portanto, tais entes seriam possíveis sujeitos passivos do crime. Penso que a resposta não deva percorrer um caminho tão simples.

Em primeiro lugar, ao ser inserido dentre os crimes contra a liberdade individual, entre aqueles que atingem a inviolabilidade dos segredos (de um indivíduo, crê-se) o legislador criou um problema de interpretação no que se refere ao bem jurídico, que parece não causar qualquer estranhamento à doutrina.[9]

Não me parece tão simples afirmar que se trata de um delito contra a liberdade individual que possa ser praticado contra entes públicos – e, em alguns casos, inclusive, contra pessoas jurídicas privadas. Não significa dizer que entes coletivos não tenham direito à inviolabilidade das comunicações e à confidencialidade de seus dados ou dos dados de terceiros que eventualmente armazenem.

O fato é que, se devemos interpretar os tipos penais à luz do bem jurídico tutelado, algo de errado há com a identificação do bem jurídico tutelado por parte doutrina nacional. Quando se interpreta o bem jurídico tutelado como sendo a liberdade individual, na sua dimensão da privacidade da pessoa, cria-se o constrangedor problema de afirmar que um ataque desta natureza contra um órgão da Administração Pública atingiria a sua “liberdade individual”.

Mais: levaria ao resultado, certamente indesejável, de ter de reconhecer que somente haverá um crime dessa natureza quando os dados obtidos, adulterados ou destruídos em determinado suporte de dados de um ente coletivo sejam dados relacionados a uma pessoa física. Isso deixaria fora da tutela penal inúmeros casos concretos, como os já mencionados, em que dados e informações de um ente coletivo possam ser acessados indevidamente por meio de invasão, e que inclusive podem almejar e alcançar consequências muito mais graves do que a simples violação à esfera da intimidade de uma pessoa natural, como o compartilhamento de segredos de Estado.

Com acerto, a doutrina alemã trata o seu delito equivalente não como um crime que tutela a “liberdade individual” na dimensão do direito à privacidade, mas como um delito que tutela o direito formal de disposição sobre os dados, bem jurídico que tem como titular precisamente aquele que tenha o direito formal de disposição sobre eles.

Vistas as coisas assim, não é difícil concluir que entes coletivos são os titulares formais do direito de disposição de seus dados (que digam respeito exclusivamente a eles) ou de dados de terceiros (tanto de pessoas físicas como jurídicas) a eles devidamente confiados.

Em síntese: melhor seria prever em lei especial dispositivos penais que possam contemplar os interesses das distintas vítimas de um ataque desta natureza. Também formas distintas de ataque e suas específicas finalidades podem lesar bens jurídicos diversos (como os interesses de pessoas jurídicas de direito privado [direito de concorrência] ou de entes públicos, incluindo-se aqui a segurança nacional).

Ademais, parece urgente contemplar em figuras penais específicas também a qualidade dos dados (como dados pessoais sensíveis ou sigilosos) para adequar nossa legislação penal à Lei Geral de Proteção de Dados (Lei nº 13.709/18).[10]

De volta ao tipo, um outro ponto merece ser objeto de debate: ele não exige apenas a finalidade de obtenção, adulteração ou destruição dos dados (ou a instalação de vulnerabilidade para obter vantagem indevida), exige também a violação indevida de mecanismo de segurança.[11]

Com isso, casos de invasão que não envolvam a violação a um mecanismo de segurança[12] não estariam abarcados pelo tipo.[13] Neste ponto, cabe uma segunda valoração: há razões para uma eventual criminalização também da conduta de quem acessa indevidamente dados em um dispositivo não protegido por um mecanismo de segurança?

O fundamento defendido pela opinião dominante acerca das razões da punibilidade apenas daquele que acessa indevidamente dados protegidos por mecanismo de segurança é que a existência de tal mecanismo refletiria o desejo do titular dos dados de mantê-los sob confidencialidade.[14]

Se se parte deste entendimento, então seria correto concluir que o acesso, embora indevido, a dados ou sistemas não protegidos não representariam uma afetação ao direito de disposição sobre os dados nem à inviolabilidade dos segredos, não justificando, portanto, uma punição na esfera criminal.

Essa, parece-me, a reflexão que deve ter lugar: ao Direito Penal não caberia proteger aquilo que nem o titular dos dados protegeu.

Um outro aspecto também merece atenção: o tipo do artigo 154-A, apesar de ter como objeto material, concretamente, os dados, eventuais obtenção, adulteração, destruição, transmissão ou comercialização destes, sem que haja uma invasão anterior[15], não é conduta punível. [16]

Em outras palavras: incrimina-se apenas a conduta do hacker que invade um dispositivo com a finalidade de obter, adulterar ou destruir e que, eventualmente os divulgue, comercialize ou transmita a terceiros, mas não a de quem pratica essas mesmas condutas sem antes invadir ou participar, de qualquer forma, de uma invasão. Ora, se o que pretende o legislador é assegurar o direito de disposição sobre os dados (ou, na concepção da doutrina brasileira, a privacidade) não é suficiente que a divulgação, comercialização e transmissão de dados estejam sempre atreladas à conduta anterior da invasão. Isso deixa de fora a conduta (tão ou mais lesiva à vítima) de recepcionar indevidamente dados que não são a si destinados e dar-lhes nova destinação não consentida nem desejada pelo titular do direito de disposição sobre os dados. Por ¦m, a modalidade prevista no § 1º. O dispositivo equipara à figura do caput as condutas de “produzir, oferecer, distribuir, vender ou difundir dispositivo ou programa de computador com o intuito de permitir a conduta definida no caput”, prevendo, portanto, um crime de perigo abstrato[17] praticamente inaplicável, na medida em que depende de representação de uma vítima que certamente nunca tomará conhecimento da prática do crime. Afinal, “produzir, oferecer, distribuir, vender ou difundir dispositivo ou programa de computador” que permita a realização de uma invasão são condutas que, em sua grande maioria, permanecem em absoluto anonimato; ainda que eventualmente venham a ser descobertas, a vítima de um ataque certamente nunca saberá quem foi o criador, vendedor, distribuidor o ou divulgador do dispositivo que tornou possível a concretização do fato.

Assim, salvo se diretamente atreladas a um ataque que tenha sido apurado de forma a permitir conhecer o criador, fornecedor, vendedor ou divulgador da ferramenta, tais condutas dificilmente poderão ser conhecidas por uma vítima que possa representar contra o agente.

Em síntese, sendo um crime de perigo abstrato, não há sentido que dependa de representação da vítima. Ainda, a figura prevista no §1º deixa de fora modalidades muito mais corriqueiras no mundo cibernético, como a disponibilização de publicações de agentes hackers, na Internet, a respeito de falhas de segurança de dispositivos de eventuais vítimas, bem como de senhas ou códigos de que tenham conhecimento os quais permitam a prática do crime previsto no caput.

Parece haver um único acerto do legislador no que se refere a esta figura penal: diferentemente de outras legislações, o Brasil parece ter deixado claro que a conduta criminosa somente se configura se houver o intuito de permitir a prática do delito previsto no parágrafo 1º, deixando fora do âmbito de abrangência da norma, portanto, casos em que o dispositivo ou programa possuam apenas o potencial de permitir tal prática[18], o que me parece um importante ganho.

Afinal, boa parte destes mesmos dispositivos ou programas servem para outros fins, em especial, a realização de testes de segurança, atividade absolutamente lícita e indispensável para o aprimoramento da segurança dos sistemas informáticos.

Feitas tais observações, chego à análise das propostas de alteração legislativa em curso. Voltando os olhos para os projetos de lei recentemente apresentados, observo que os problemas apontados não foram sequer considerados e, ainda, que as propostas caminham em sentido contrário às valorações feitas acima. A maior parte delas apenas busca a via simplificada de resolver problemas por meio de mero agravamento de pena.[19]

Em especial, o PL 5441/20 pretende a incriminação também do hackeamento em sentido estrito sob a figura do “acesso indevido”, sem a exigência de violação a um mecanismo de segurança ou da finalidade de obtenção, adulteração ou destruição dos dados.

Além disso, a maioria dos projetos apresentados também não se preocupou em prever outras formas de afetação ao direito de disposição sobre os dados, nem em distinguir entre ataques que lesem distintos interesses de entes coletivos de direito privado e de direito público, tampouco conferem atenção à receptação de dados como conduta autônoma ou à qualidade dos dados. [20]

Em conclusão, se os dispositivos penais atuais já são problemáticos, não será por meio dos projetos atualmente em trâmite que eles serão resolvidos, ao menos não em sua grande parte.

[1] Os episódios mais recentemente noticiados são a invasão aos servidores do Superior Tribunal de Justiça, em 03.11.2020, com indisponibilidade de todo o sistema daquele Tribunal; a invasão ao sistema do Ministério da Saúde, com desfiguração das páginas da pasta na Intenet; a invasão ao site do Tribunal de Justiça do Rio Grande do Sul, em 11.11.2020 e a invasão ao sistema do Tribunal Superior Eleitoral, que resultou no acesso e divulgação do conteúdo de inúmeros bancos de dados.

[2] Também em novembro de 2020, o episódio de invasão a uma aula proferida pelo Ministro do Supremo Tribunal Federal, Ricardo Lewandowski, a alunos da Universidade de São Paulo.

[3] Cf. PL 3330/2020, do Deputado Federal Junio Amaral; PL 4554/2020, do Senador Davi Alcolumbre; PL 5265/2020, do Deputado Federal Celio Studart; PL 5278/2020, do Deputado Federal Luizão Goulart e, em especial, o PL 5441/2020, do Deputado Federal David Soares, que destaca do Projeto de Lei do Senado 236/2012, o Título VI, com a pretensão de dar maior celeridade à aprovação das alterações legislativas.

[4] Apenas muito recentemente há notícias de que o Brasil finalmente irá aderir à Convenção de Budapeste: <https://www.gov.br/secretariageral/pt-br/noticias/2020/julho/brasil-e-convidado-aaderir-a-convencao-do-conselho-da-europa-contra-a-criminalidade-cibernetica>.

[5] Esta última finalidade também parece refletir uma preocupação com os dados, afinal, o titular do direito de disposição sobre os dados deve poder exercê-lo livremente e a instalação de vulnerabilidades (embora a redação não colabore para uma interpretação suficientemente segura) coloca em perigo tal direito de disposição.

[6] A última hipótese também coloca em perigo o direito de disposição dos dados, recaindo sobre o dispositivo armazenador de dados.

[7] Diferentemente, por exemplo, da Alemanha e da Espanha, países nos quais a mera obtenção de acesso aos dados contidos no dispositivo armazenador já configura crime. No caso da Alemanha, trata-se de alteração legislativa trazida pela 41. StrÄndG, de 7.8.2007.

[8] Cf. a sugestão de Schmid, antes da alteração do Código Penal alemão (cf. nota de rodapé n. 7), de prever uma conduta equiparada ao crime de invasão de domicílio (§123 StGB), desde que se trate de um sistema de computadores ou de dados que exijam um elevado grau de interesse e confiança em sua integridade. SCHMID, Pirmin. Computerhacken und materielles Strafrecht – unter besonderer Berücksichtigung von 202 a StGB, 2001, p. 137.

[9] A doutrina, de forma majoritária, entende tratar-se de delito que tutela a liberdade individual, no aspecto da privacidade pessoal e profissional do indivíduo. Cf. BITENCOURT, Cezar Roberto. Tratado de Direito Penal, vol. 2, 20ª ed., São Paulo: Saraiva, 2020 (edição eletrônica sem paginação); PRADO, Luiz Regis. Tratado de direito penal: parte especial – arts. 121 a 249, vol. 2, 3ª ed. Rio de Janeiro: Forense, 2019 (edição eletrônica sem paginação); MASSON, Cleber. Direito penal esquematizado: parte especial, vol. 2, 7ª ed. São Paulo: Método, 2015, p. 275 e ss.; SANCHES CUNHA, Rogério. Manual de Direito Penal: parte especial, 9ª ed. São Paulo: Editora Juspodivm, 2017, p. 262 e ss.; GILABERTE, Bruno. Crimes contra a pessoa, 2ª ed. Rio de Janeiro: Editora Freitas Bastos, 2019, p. 457 e ss. (quem fala propriamente no direito de intimidade).

 [10] Também seria importante prever outras formas de ataque, contemplando outras maneiras de afetar dados como, por exemplo, mantê-los indisponíveis, com a colocação de barreiras de acesso ao seu conteúdo, impedindo a disposição sobre eles por um longo período, sem que sua integridade seja atingida, ou seja, sem efetivas adulteração ou destruição.

[11] Exemplificadamente: softwares especiais de segurança atrelados ao sistema operacional, proteção por firewall que impeça uma invasão indevida à rede, criptografia ou proteção mediante solicitação de senha ou por dispositivos de reconhecimento de impressões digitais ou de voz.

[12] Como exemplo, o emprego de manobras de desvio do mecanismo de segurança mediante utilização de programas de sobrecarga do sistema como backdoors, trapdoors ou session hijacking.

[13] Especialmente em se tratando de manobras de desvio do mecanismo de segurança, há relutância na doutrina estrangeira, que entende que este seria um resultado não desejado pelo legislador. Cf. Kargl, NK-StGB §202a, 5ª ed., 2017, n.m.14a.; ERNST, Stefan Das neue Computerstrafrecht. NJW 2007, p. 2660. Na doutrina nacional não se encontra essa discussão, apenas o entendimento majoritário de que sem violação a um mecanismo de segurança, não há crime. Discutível também é se a obtenção de dados mediante phishing também estaria contemplada pelo tipo, na hipótese de o próprio usuário remeter, induzido em erro, os dados ou abrir uma porta de acesso ao agente.

[14] Um outro fundamento é oferecido por: DIETRICH. Die Rechtsschutzbegrenzung auf besonderes gesicherte Daten des §202a StGB. NStZ, 2011, pp. 253-254, quem sustenta que a real justificação para a proteção penal de dados protegidos por mecanismos de segurança seria de natureza preventivo-especial e relacionada ao agente: aquele que possui conhecimentos técnicos para superar barreiras de segurança seria mais perigoso do que aquele que não os possui.

 [15] Assim preveem, expressamente, o §3º, do artigo 154-A: “Se da invasão resultar (…)” e o §4º: “Na hipótese do §3º (…)”

[16] Exceto quando se tratar do crime funcional previsto no artigo 313-A, do Código Penal em se tratando de inserção, facilitação de inserção, alteração ou exclusão de dados em sistema informatizado ou banco de dados da Administração Pública, com a finalidade de obtenção de vantagem indevida ou de causar dano.

[17] Fischer, StGB § 202c, 66ª ed., 2019, n.m.2; ERNST, Stefan. Op. cit., p. 2661.

[18] Respeitando, assim, o teor do artigo o 6º da Convenção de Budapeste.

[19] Assim pretendem os PLS 3330/20, 4554/20, 5265/20, 5278/20 (este último, prevendo pena máxima de dez anos de reclusão) e o 5441/20.

[20] O PL 5441/20 apenas algumas formas distintas de afetação ao direito de disposição sobre os dados, trazendo figuras que retratam hipóteses de dano (“dano a dados informatizados”), de interferência em sistemas de dados (“sabotagem informática”), além da fraude mediante a prática de phishing (“fraude informatizada”).