Notas sobre o crime de invasão de dispositivo informático

A Lei 12.737/12 que ganhou o nome de “Lei Carolina Dieckman” tipificou alguns crimes cometidos no âmbito informático, dentre eles, a invasão de dispositivo informático, o qual está previsto no artigo 154-A do Código Penal, criminalizando a conduta daquele que invade dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de angariar, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou, ainda, instalar vulnerabilidade para obter vantagem ilícita.

 

 

Para a configuração do delito, necessário se faz a conjugação de algumas elementares, a saber: a) o núcleo invadir; b) dispositivo informático alheio; c) conectado ou não à rede de computadores; d) mediante violação indevida de mecanismo de segurança; e) com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo; f) ou instalar vulnerabilidades para obter vantagem ilícita.

Passaremos, de modo didático e objetivo, a explorar cada uma dessas elementares.

O núcleo invadir tem o sentido de violar, penetrar, acessar.

O que se invade é o dispositivo in

 

formático que, conceitualmente, seria todo o aparelho capaz de receber os dados, tratá-los, assim como transmitir os resultados, a exemplo do que ocorre com os computadores, smartphones, tablets etc.

O dispositivo deve ser alheio, ou seja, não deve pertencer ao agente que o utiliza. Desse modo, por exemplo, se alguém insere informações em um computador de outra pessoa e se esta última acessa os dados ali inseridos, não se caracterizará o delito em análise.

Esse dispositivo informático alheio pode estar ou não conectado à rede de computadores, isto é, não importa se dispositivo informático está ligado a algum conjunto de 2 ou mais computadores autônomos e outros dispositivos, interligados entre si com a finalidade de compartilhar informações e equipamentos, a exemplo dos dados, impressoras, mensagens etc. Não se faz necessária a conexão à rede de computadores.

Quanto à violação de mecanismo de segurança, podemos conceituar como a violação de meios que visem garantir que somente determinadas pessoas terão acesso ao dispositivo informático, tais como senhas e login. Aqui, importante ressaltar que ainda é comum que as pessoas evitem colocar senhas de acesso, por exemplo, em seu computadores, permitindo, dessa forma, que qualquer pessoa que a eles tenha acesso, possam conhecer o seu conteúdo. Porém, mesmo sem a existência de senha de acesso, a ninguém é dado invadir computador alheio, a não ser que ocorra a permissão expressa ou tácita de seu proprietário. Todavia, para a configuração típica do crime, tendo em vista a exigência contida no tipo penal em análise, somente haverá a infração penal se houver, por parte do agente invasor, uma violação indevida do mecanismo de segurança.

Seguindo, para a configuração do crime, é necessário que a invasão tenha sido implementada para obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo, não bastando, portanto, a simples invasão. Impende, aqui, uma finalidade especial consistente na obtenção, adulteração ou destruição de dados ou informações sem a autorização expressa ou tácita do titular do dispositivo.

Por último, quanto à instalação de vulnerabilidades para obter vantagem ilícita, como elemento alternativo, segundo o Centro de Estudos, Resposta e Tratamento de incidentes de segurança no Brasil, uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança. Exemplos de vulnerabilidades são falhas no projeto, na implementação ou na configuração de programas, serviços ou equipamentos de rede. Um ataque de exploração de vulnerabilidades ocorre quando um atacante, utilizando-se de uma vulnerabilidade, tenta executar ações maliciosas, como invadir um sistema, acessar informações confidenciais, disparar ataques contra outros computadores ou tornar um serviço inacessível.

A parte final do caput do art. 154-A do Código Penal, prevê, ainda, que, para que se configure a infração penal em estudo, o agente poderá atuar no sentido de instalar a vulnerabilidade, a fim de obter vantagem ilícita, que pode ou não ter natureza patrimonial.

A pena prevista para esse delito é de detenção de 3 (três) meses a 1 (um) ano, possível ser aplicada, inclusive, a quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a invasão, conforme prevê o parágrafo primeiro do artigo mencionado.

No segundo parágrafo do artigo em estudo, é estabelecido um aumento de pena caso resulte prejuízo econômico a invasão do dispositivo informático alheio, sendo que, no parágrafo quarto, há também aumento de pena caso haja divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos com esta invasão.

Assim, de modo simples, procuramos traçar os aspectos gerais  do crime de invasão de dispositivo informático, o qual, em que pese a sua relevância, ainda carece de maior reflexão científica