Do iter criminis

A teoria da tentativa remonta aos praxistas que conceberam a con- duta criminosa como um caminho percorrido pelo agente (iter criminis). Assim, em toda conduta criminosa é possível vislumbrar as seguintes fases: cogitação (cogitatio), preparação (conatus remotus), execução (conatus proximus) e consumação (meta optata). O exaurimento não é propriamente uma fase do iter criminis, mas, sim, os efeitos lesivos pro- vocados pela infração que ocorre a partir de uma relação de causalidade originada na consumação.

5.4.1 Da cogitação e da preparação

Evidentemente, a fase da cogitação não pode ser punida (cogitationis

poenam nemo patitur), pois, caso contrário, estar-se-ia admitindo a pun-

ição pelos pensamentos do autor. Assim, jamais uma invasão a dispositivo informático poderá ser considerada tentada pela simples declaração de al- guém acerca de sua pretensão de invadir um determinado dispositivo in- formático, ainda que explique detalhadamente os procedimentos que ad- otará para lograr êxito.

A fase da preparação da invasão de dispositivo informático consiste basicamente na coleta de inúmeras informações sobre o alvo. No meio técnico, esta fase é chamada de footprinting, pois é nela que o agente irá traçar um perfil (footprint) do dispositivo da vítima, o que lhe possibilit- ará um ataque direcionado e bem-sucedido.42

O footprinting de uma organização permite que invasores criem um perfil completo da postura de segurança dessa organização. Usando uma combinação de ferramentas e técnicas, atacantes podem empregar um fator desconhecido (a conexão à Internet da Empresa X) e convertê-lo em um conjunto específico de nomes de domínio, blocos de rede e endereços IP individuais de sistemas conectados diretamente à Internet. (McCLURE, 2000, p. 5)

Essa é a fase de seleção da vítima. A conduta se assemelha a de quem, em um passeio pelas ruas, procura janelas abertas para por elas furtiva- mente entrar. O footprinting evidentemente não pode ser punido, pois não há ainda qualquer ameaça concreta ao bem jurídico protegido.

Posteriormente ao footprinting, o agente procurará certificar quais dispositivos estão ativos e alcançáveis, seja a partir da Internet ou não.43

Esta segunda fase é denominada de varredura do sistema e visa 70/145

determinar principalmente as viabilidades de acesso ao dispositivo in- formático da pretensa vítima. Esta é a fase de avaliação da vítima. Após selecionar a vítima através do footpriting o cracker procurará avaliar agora a probabilidade de êxito do seu ataque. A hipótese aqui se assemelha à de quem soa a campainha de uma residência tão somente para saber se há pessoas no local.

Impossível também será qualquer ação contra o agente pela conduta da varredura, pois, também aqui, não há qualquer lesão ao direito penal- mente protegido.

A última etapa preparatória de uma invasão a dispositivo informático consiste na identificação das características dos usuários que possuem autorização de acesso em relação ao respectivo dispositivo. Esta fase é chamada de enumeração. Nela há a determinação das fragilidades da vítima. Assemelha-se à conduta de quem, sabendo previamente haver pessoas numa residência, procura descobrir quem são e em quais horários saem para trabalhar.

O início do ataque ao direito tutelado está próximo, porém, não há ainda qualquer lesão concreta ao bem jurídico protegido. Se, por qualquer motivo, o cracker desistir de invadir o dispositivo informático, a conduta só terá existido no âmago do agente, sem ter causado qualquer alteração real no mundo fenomênico.

5.4.2 Da execução e da consumação

Já se discutiu que o crime de invasão de dispositivo informático, por ser crime material, só se consumará com a ocorrência de um resultado no mundo fenomênico. Resta, no entanto, determinar quando se iniciam os

atos executórios que culminam na causação deste resultado. Fragoso en- sina que:

Tendo em vista o sistema da nossa lei, prevalece na doutrina um critério objetivo de distinção, sendo irrelevante, em princípio, o plano delituoso do agente. Materialmente constitui ato de execução aquele que inicia o ataque ao bem jurídico tutelado; formalmente, tal ato distingue-se pelo início de realização da ação típica prevista pela lei. (FRAGOSO, 1985, p. 251)

A ação de acessar dados implica em um comando que é dado pelo agente ao sistema e sua consumação se dá no momento da respectiva in- vasão que ocorra com o intuito de obtenção, alteração ou destruição de dados ou informações ou mesmo na instalação de vulnerabilidade. Este comando inicial pode ser dado ao sistema por uma única instrução ou por uma série de instruções sequenciais que geram o resultado final preten- dido pelo agente, isto é, a invasão. O início da execução de uma invasão a dispositivo informático dar-se-á, portanto, no momento em que é emitido pelo agente o primeiro comando de uma série destinada inequivocamente à respectiva invasão.

Como na maioria absoluta dos sistemas, o acesso a dados está pro- tegido por senha, este primeiro comando, em geral, será uma autenticação indevida. Os dispositivos informáticos trabalham com autorizações (per- missões) de acesso, sendo que o controle delas se dá por meio de um par ordenado de nome do usuário e senha. Assim, ao se ligar um computador ou ao se realizar um acesso remoto, o sistema inicialmente nos exigirá um nome de usuário e, em seguida, uma senha. A máquina checará, na se- quência, se o nome do usuário está armazenado em seu banco de dados e, em caso positivo, se a senha digitada corresponde àquela armazenada. Havendo a correspondência, o acesso aos dados será liberado, restando ao

usuário apenas emitir os comandos desejados para que o acesso se con- sume. Ao processo de conferência do par ordenado nome do usuário e senha no sistema dá-se o nome de autenticação.

Os métodos usados pelos piratas para burlarem o processo de autenticação são extremamente variados. Analisar-se-á aqui os principais deles, procurando determinar os exatos momentos de início de execução da conduta e de sua consumação.