CONSIDERAÇÕES INICIAIS SOBRE O NOVO CRIME DE INVASÃO DE DISPOSITIVO INFORMÁTICO

---

* o autor é Diretor do IBDI - Instituto Brasileiro de Direito da Informática

 

SUMÁRIO: A CONDUTA TÍPICA; NÃO TIPIFICAÇÃO DA INVASÃO DE DISPOSITIVO PRÓPRIO; O DOLO; A EXPLORAÇÃO DE VULNERABILIDADE COM O FIM EXCLUSIVO DE DEMONSTRAÇÃO; CONCEITO DE VIOLAÇÃO INDEVIDA DE MECANISMO DE SEGURANÇA; CONCLUSÕES PRECIPITADAS.

 

A CONDUTA TÍPICA

 

A Lei 12.737/12, dentre outras providências, criou o novo tipo penal de invasão de dispositivo informático (Art. 154-A do Código Penal), cuja conduta é descrita como

 

Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita

 

Alguns questionamentos importantes já podem ser feitos com relação à aplicação do tipo penal. 

 

 

NÃO TIPIFICAÇÃO DA INVASÃO DE DISPOSITIVO PRÓPRIO

 

A primeira coisa que me chamou a atenção no novo texto incriminador é que sua conduta se refere a dispositivo de informática alheio, ou seja, de outrem, de terceiro. Em outras palavras, não se trata de um lobby das empresas fabricantes de software proprietário para impedir o acesso dos usuários ao código utilizado nos dispositivos por eles adquiridos. Isso, sem dúvida, é um alívio aos defensores do Software Livre que, dentre outras bandeiras, defendem a liberdade do usuário de conhecer o código fonte dos sistemas por eles utilizados, ainda que para isso seja necessária a utilização de engenharia reversa.

 

É claro que esta conduta, a depender da licença do software, poderá continuar sendo caracterizada como ilícito civil, uma vez que isso depende dos termos da licença de uso aquiescida pelo usuário. Mas está longe de ser ilícito penal caso a violação se dê em dispositivo próprio. 

 

Há casos em que sequer haverá ilícito. Um exemplo disso é o media center Boxee Box, fabricado pela D-Link. Embora possua trava de segurança, que previne o acesso ao código fonte e outros dados do software do dispositivo (firmware), o equipamento utiliza código licenciado como Sofware Livre (sob a Gnu/GPL v. 2), cuja licença exige a liberdade de acesso a tais informações.

 

Neste caso, sequer haverá desrespeito a direito de software caso a mencionada trava seja quebrada em dispositivo próprio. É que a trava de segurança já é um desrespeito à licença do software ali utilizado pela fabricante, sendo a sua violação a única forma de exercer a liberdade garantida inicialmente por aquele software.

 

 

O DOLO

 

Como se pode ver, a incidência do tipo exige que a violação tenha como fim "obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular".

 

Embora possa ser difícil apurar o dolo de adulterar ou destruir dados ou informações caso isso não seja resultado prático da violação, por outro lado, é possível considerar que o fim de "obter" os dados seja inerente à conduta.

Afinal, a violação não estaria perfeita se não resultasse na obtenção dos dados, certo? 

 

Talvez. 

 

É que não podemos esquecer que há hipótese de exploração de vulnerabilidades de software sem o fim de obtenção dos dados.

 

 

A EXPLORAÇÃO DE VULNERABILIDADE COM O FIM EXCLUSIVO DE DEMONSTRAÇÃO

 

Inicialmente, deve-se observar que a "obtenção" dos dados, em se tratando de informática, equivale ao mero acesso ou visualização, não se exigindo que tais dados sejam retirados ou eliminados da sua origem. Isso porque, quando se acessa qualquer informação digital (ou quântica), o que ocorre, na verdade, é uma cópia desses dados para a memória primária do computador.

 

Mas isso significa que a violação sempre resultará na obtenção dos dados? 

 

Acredito que não.

 

A presunção terá que ser relativa, pois não se pode ignorar a hipótese de violação unicamente com o fim de demonstrar a vulnerabilidade do dispositivo: prática comum no meio hacker. 

 

Neste caso, acredito que deverá haver uma prova de que a violação não resultou em obtenção dos dados. Como obter essa prova já é outra discussão, mas deve-se buscar um caminho em que a violação não atinja a camada final onde estão armazenados os dados, mas seja suficiente para demonstrar a fragilidade do sistema.

 

 

CONCEITO DE VIOLAÇÃO INDEVIDA DE MECANISMO DE SEGURANÇA

 

Dentre os elementos do novo tipo penal, há de ser conceituada a expressão "mediante violação indevida de mecanismo de segurança". Desde o projeto de lei, se discute qual seria a forma ideal de tratar a conduta, mas, ainda assim, o texto final não foi suficiente para superar a velha discussão da dificuldade de conceituar estes elementos.

 

Pelo visto, de acordo com a descrição, a conduta pode acabar sendo considerada de forma muito abrangente, abordando, inclusive, o ato de tomar o celular de alguém e descobrir a combinação para desbloquear a tela e acessar os dados armazenados no aparelho.

 

Dentre as diversas definições dos dicionários sobre a conduta "violar", podemos destacar os seguintes significados: abrir sem pedir autorização, entrar ilegalmente, tornar público sem permissão. No caso, é de se entender que seja preciso um pouco mais do que simplesmente a "entrada" ou o "acesso" ao sistema, mas a utilização de artifício para a sua consecução. 

 

Em outras palavras, o "mecanismo de segurança" mencionado no tipo precisa ser "driblado", ou seja, a intenção de proteger a informação, efetivada por mecanismo de segurança, precisa ser frustrada por algum artifício do invasor. Daí porque, a violação precisa ser "indevida", ou seja, não autorizada.

 

Nesta linha de pensamento, podemos considerar que o fornecimento deliberado da senha de segurança pelo proprietário do dispositivo elimina a hipótese de violação indevida de dispositivo de segurança?

 

O curioso é que, a depender da resposta para este questionamento, pode ser que a Lei Carolina Dieckmann (apelido infame dado à Lei 12.737/12)  não seja aplicável a casos semelhantes ao próprio Caso Carolina Dieckmann, pois, na ocasião, foi a atriz quem enviou a senha aos bandidos.

 

Será que naquele caso houve violação? Ou será que não foi o caso de um acesso indevido?

 

 

CONCLUSÕES PRECIPITADAS

 

Talvez tudo o que foi discutido aqui não passe de meras conclusões precipitadas. Espero que não. Diferente de muitos que foram contra a Lei 12.737/12, acredito que a tipificação da invasão de dispositivo informático era, de fato, uma lacuna no código penal. Aliás, em matéria penal, talvez fosse a única lacuna no que se refere aos chamados crimes informáticos. Assim, considerando que o novo tipo não criminaliza a violação de dispositivo próprio e que, com alguns cuidados, ainda permite a violação de dispositivo com o fim exclusivo de demonstrar a vulnerabilidade de um sistema, vejo como positiva a nova tipificação. Resta esperar que o Poder Judiciário não extrapole os limites aqui sugeridos.

 

4 de dezembro de 2012