Crime informático próprio

Nos dizeres de Aldemário Castro (2003, online), os crimes informáticos próprios são aqueles “onde o agente objetiva atingir o computador, o sistema de informática ou os dados e as informações neles utilizadas”. Para Vianna (2001b, p. 42), “são aqueles em que o bem jurídico protegido pela norma penal é a inviolabilidade das informações automatizadas (dados)”.

Ambas as definições não diferem entre si, por visarem à proteção e a inviolabilidade do sistema informático e dos dados neles armazenados. Estes são os “reais crimes informáticos” e que merecem estudo detalhado e cuidadoso, pois se encontram, em sua maioria, não expressamente tutelados pela legislação penal brasileira, o que, diante da impossibilidade de aplicação da analogia maléfica haja vista o princípio da legalidade, ocasiona lacunas.

28 _{Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou} mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento:

Pena - reclusão, de um a cinco anos, e multa.

29 _{Art. 138 - Caluniar alguém, imputando-lhe falsamente fato definido como crime:} Pena - detenção, de seis meses a dois anos, e multa.

30 _{Art. 139 - Difamar alguém, imputando-lhe fato ofensivo à sua reputação:} Pena - detenção, de três meses a um ano, e multa.

31 _{Art. 140 - Injuriar alguém, ofendendo-lhe a dignidade ou o decoro:} Pena – detenção, de um a seis meses, ou multa.

Dentre as hipóteses já reguladas pelo ordenamento penal, estão as dispostas na Lei 9.983 de 14 de julho 2000, ao acrescentar no Código Penal os artigos 313-A e 313-B, in verbis:

Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano: Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa.

Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente:

Pena – detenção, de 3 (três) meses a 2 (dois) anos, e multa.

Porém, estas hipóteses referem-se unicamente quando praticadas por funcionário público no exercício de suas funções, e não se encaixariam no acesso não autorizado a sistema informático, este sim, crime informático próprio sem previsão na lei penal (VIANNA, 2001b, p. 43).

Um exemplo apresentado por Colli (2010, p. 51) expõe outro crime próprio já tipificado pelo ordenamento, mas que na sua continuidade demonstra a lacuna em relação ao acesso não autorizado:

[...] um invasor, valendo-se de seu laptop com dispositivo de acesso a conexões 802.11 (wireless), irá obter [...] a chave de criptografia de acesso e transmissão de dados de um roteador 802.11, no qual estão conectados dois hosts (computadores), os quais, por sua vez, acessam a internet por intermediação daquele mesmo roteador. Ao obter a chave de criptografia, todos os dados transmitidos entres os hosts, entre os hosts e o roteador 802.11 e entre estes e a internet serão capturados e poderão ser manipulados pelo invasor.

O delito aqui seria a interceptação de comunicações de informática, tipificado no artigo 10 da Lei 9.296 de 24 de julho de 199632, contudo, na continuidade do exemplo dado:

[...] o ingresso em um computador via rede wireless ou no próprio roteador, mediante o uso de uma chave [...] adquirida sem a interceptação [...] não pode ser considerada uma infração penal, e muito menos um cibercrime. E isto se deve ao fato de não existir interceptação a ensejar a ocorrência da tipicidade do art. 10 da Lei 9.296, de 24.07.1996. (destaque nosso).

32 _{Art. 10 - Constitui crime realizar interceptação de comunicações telefônicas, de informática ou} telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei.

Portanto, apesar da interceptação de comunicações de informática possuir previsão legal, caso a obtenção da chave de acesso se de sem a interceptação, estar-se-ia diante do acesso não autorizado, não passível de punição.

Outra hipótese de crime parecido, mas que não se confunde com o acesso não autorizado ou a interceptação, é a interferência em sistemas computacionais, onde a ação do agente é no sentido de impossibilitar o funcionamento do sistema, e não a inviolabilidade dos dados em si. Não tipificado pelo ordenamento, é prática frequente na internet. A situação mais comum é a de ataques de recusa de serviço (denial of service, ou simplesmente, DoS33_{), onde}

websites de empresas como Itaú, Bradesco, HSBC e inclusive do Banco Central do

Brasil já sofreram sobrecargas e ficaram inacessíveis34_{. Aponta Vianna (2001b, p.} 44) que:

Além dos prejuízos econômicos diretos pela ausência de vendas durante o tempo em que estão fora do ar, há ainda uma conseqüência mais grave: a perda de credibilidade do consumidor com a divulgação das fragilidades do sistema.

Para a ocorrência bem sucedida da interferência de sistema informático pelo denial of service, é necessário que se tenha um número grande de computadores que façam parte deste “exército”. Inicialmente, os organizadores dos ataques de DDoS visavam “escravizar” computadores que agiam como servidores da internet, porém, com o avanço da internet de banda larga e o aumento do número de usuários domésticos, os agentes passaram a possuir interesse nestas máquinas, já que elas representam um número extremamente grande e estão, geralmente, menos protegidas.

Consequentemente, com o intuito de “escravizar” as máquinas domésticas, os sujeitos ativos passaram a praticar outra conduta ilícita, mas que também não possui sua tipicidade na legislação penal: a criação e distribuição de

malwares.

33 _{Consistem em tentativas de fazer com que computadores - servidores Web, por exemplo - tenham} dificuldade ou mesmo sejam impedidos de executar suas tarefas. Para isso, em vez de "invadir" o computador ou mesmo infectá-lo com malwares, o autor do ataque faz com que a máquina receba tantas requisições que esta chega ao ponto de não conseguir dar conta delas. Em outras palavras, o computador fica tão sobrecarregado por requisições de milhares de máquinas que nega serviço. Para os ataques de grandes proporções, é dada a nomenclatura de Distributed Denial of Service ou DDoS (distribuição de recusa de serviço). (ALECRIM, 2004, online).

34 _{Fonte: <http://www.infowester.com/noticias/ataques-derrubam-sites-de-varios-bancos-brasileiros/>.} Acesso em: 10 mai. 2012.

Maiores inimigos dos usuários que navegam pelo universo digital, o

malware, na conceituação de Goldani (2005, online), provém da contração de malicious (maldoso) e software, e indica qualquer programa (software) desenvolvido

com o propósito de causar dano a um computador, sistema ou redes de computadores. O autor acima citado explica:

Os dois tipos mais comuns de Malware são os vírus e os vermes (worms). Ambos têm em comum a capacidade de se autorreplicarem, ou seja, podem divulgar cópias para outros computadores ou sistemas. Nem todos os programas que se autorreplicam são maliciosos; existem aplicações que utilizam este recurso para criar cópias de segurança. Para serem classificados como vírus ou vermes, pelo menos algumas destas cópias devem estar habilitadas a replicar-se, criando uma rede de distribuição que propaga o Malware. A diferença conceitual entre um vírus e um verme é que este último opera independente de outros arquivos ou programas, enquanto o primeiro depende de um hospedeiro para ser distribuído.

Ainda conforme Vianna (2001b, p. 47):

Na legislação brasileira não há um tipo penal específico visando à repressão dos vírus informáticos, mas é perfeitamente possível a punição por crime de dano (art. 163 do CP) quando a conduta destruir, inutilizar ou deteriorar os dados armazenados no sistema computacional.

Todavia, apesar de ser aplicável a condenação por dano, seria melhor caso houvesse uma legislação própria prevendo a criação e divulgação de malwares como crime de perigo concreto, possuindo como elemento subjetivo do tipo o dolo específico de causar dano, para evitar o enquadramento de quem produz ferramentas de testes de segurança.

Como último crime informático próprio a ser descrito no presente trabalho, está a falsificação informática, que consiste na adulteração de dados de computadores (seja por introdução, supressão ou simples modificação), com fins fraudulentos (VIANNA, 2001b, p. 45). Hipótese esta que afeta os direitos autorais assegurados pelo ordenamento jurídico. A situação mais comum é o desenvolvimento de programas denominados cracks35, capazes de forjar falsos

registros que fazem programas licenciados funcionarem como se tivessem sido devidamente adquiridos legalmente.