LEI CAROLINA DIECKMANN

O novo crime de Invasão de Dispositivo Informático

Por Eduardo Luiz Santos Cabette

A Lei 12.737, de 30 de novembro de 2012 trouxe para o ordenamento jurídico-penal brasileiro o novo crime de “Invasão de Dispositivo Informático”, consistente na conduta de “invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”.

A pena prevista para o crime simples (há forma qualificada e aumentos de pena) é de detenção de 3 meses a um ano e multa.

É interessante notar que a legislação sob comento acabou ganhando o epíteto de “Lei Carolina Dieckmann”, atriz da Rede Globo de televisão que foi vítima de invasão indevida de imagens contidas em sistema informático de natureza privada e cujo episódio acabou acelerando o andamento de projetos que já tramitavam com o fito de regulamentar essas práticas invasivas perpetradas em meios informáticos para modernização do Código Penal Brasileiro. Antes disso, era necessário tentar tipificar as condutas nos crimes já existentes, nem sempre de forma perfeita. A questão, sob esse ponto de vista, é agora solucionada pela Lei 12.737/12.

Bem jurídicoO bem jurídico tutelado é a liberdade individual, eis que o tipo penal está exatamente inserido no capítulo que regula os crimes contra a liberdade individual (artigos 146 – 154, CP), em sua Seção IV – Dos Crimes contra a inviolabilidade dos Segredos (artigos 153 a 154 – B, CP). Pode-se afirmar também que é tutelada a privacidade das pessoas (intimidade e vida privada), bem jurídico albergado pela Constituição Federal em seu artigo 5º, X.

Percebe-se, portanto, que a tutela é individual, envolvendo os interesses das pessoas (físicas e/ou jurídicas) implicadas, nada tendo a ver com a proteção à rede mundial de computadores e seu regular funcionamento.

Há muito que se discute sobre a necessidade ou não de erigir normas penais especiais relativas aos delitos informáticos. Seria isso mesmo necessário ou o recurso aos tipos penais tradicionais seria suficiente? Entende-se que o fenômeno informático está a exigir regulamentação especial devido às suas características que divergem de tudo quanto sempre foi usual. Isso se faz sentir claramente em outros ramos do direito como na área civil, processual, comercial, consumerista, trabalhista, cartorial etc. Por que seria diferente na seara penal?

Agiu, portanto, com correção o legislador ao criar o tipo penal ora em estudo, especialmente considerando o fato de que há tutela de bem jurídico constitucionalmente previsto, como já se explicitou acima.

Sujeitos ativo e passivoO crime é comum, de modo que pode ser sujeito ativo qualquer pessoa. O mesmo se pode dizer com relação ao sujeito passivo. O funcionário público também pode ser sujeito ativo dessa infração, mas a lei não prevê nenhuma causa de aumento de pena. Pode-se recorrer nesse caso às agravantes genéricas previstas no artigo 61, II, “f” ou “g”, CP, a depender do caso. Também pode ser sujeito passivo a pessoa jurídica. É óbvio que as pessoas jurídicas também podem ter dados ou informações sigilosos abrigados em dispositivos informáticos ligados ou não à rede mundial de computadores, os quais podem ser devassados, adulterados, alterados ou destruídos à revelia da empresa ou do órgão responsável.

Isso se torna mais que patente quando se constata previsão de qualificadora para a violação de segredos comerciais ou industriais e informações sigilosas definidas em lei (artigo 154 – A, § 3º., CP), o que deixa claro que podem ser vítimas pessoas jurídicas de direito privado ou público. Entende-se que melhor andaria o legislador se houvesse previsto um aumento de pena para a atuação do funcionário público no exercício das funções, bem como para os casos de violação de dados ou informações ligados a órgãos públicos em geral (administração direta ou indireta).

Também será sujeito passivo do crime qualificado, nos termos do § 3º. do dispositivo, o titular do conteúdo de “comunicações eletrônicas privadas, segredos comerciais ou industriais ou informações sigilosas, assim definidas em lei”. Percebe-se, como já dito alhures, que as pessoas jurídicas podem ser vítimas, inclusive a administração pública direta ou indireta de qualquer dos entes federativos (União, Estados, Municípios ou Distrito Federal). Podem ainda ser sujeitos passivos empresas privadas concessionárias ou permissionárias de serviços públicos também com relação a qualquer dos entes federativos.

O sujeito passivo da infração é, portanto, qualquer pessoa passível de sofrer dano moral ou material decorrente da ilícita obtenção, adulteração ou destruição de dados ou informações devido à invasão ou violação de seu sistema informático, mediante vulneração de mecanismo de segurança. Assim também é sujeito passivo aquele que sofre a instalação indevida de vulnerabilidades em seu sistema para o fim de obtenção de vantagens ilícitas. São exemplos as atuações em que indivíduos inserem vírus espiões para obter, adulterar ou destruir dados em sistemas informáticos. Importa ressaltar que a vítima não precisa ser a proprietária ou titular do sistema informático ou do hardware ou software invadido pelo criminoso.

Na verdade, qualquer pessoa que tenha sua privacidade violada pelo invasor é sujeito passivo da infração. Por exemplo: um amigo usa o computador de outro para conversas particulares via internet, cujo conteúdo é ali armazenado por meio de senha. Alguém invade o sistema informático daquele computador e viola a privacidade, não do dono do computador, mas do seu amigo. Ora, este segundo também é vítima do crime. O mesmo se pode afirmar quanto aos usuários das chamadas “Lans Houses” que sofram o mesmo tipo de violação indevida.

Tipo subjetivoO tipo subjetivo do ilícito é informado somente pelo dolo. Não há previsão de figura culposa. O dolo é específico, pois exige a lei que a violação se dê com o especial fim de “obter, adulterar ou destruir dados ou informações” ou “instalar vulnerabilidades para obter vantagem ilícita”. Note-se que há duas especificidades independentes para o dolo do agente: primeiro o fim especial de “obter, adulterar ou destruir dados ou informações”, sem a exigência de que se pretenda com isso obter vantagem ilícita. Ou seja, nessa parte o tipo penal não requer do agente outra vontade senão aquela de vulnerar o sistema e suas informações ou dados, podendo agir inclusive por mera curiosidade ou bisbilhotice.

Já na instalação de vulnerabilidades, o intento tem de ser a obtenção de vantagem ilícita. Como o legislador não foi restritivo, entende-se que a vantagem intencionada pode ser econômico–financeira ou de qualquer outra espécie. Por exemplo, se instalo num computar uma via de acesso a informações para obter senhas bancárias e me locupletar ou se instalo uma vulnerabilidade num computador para saber dos hábitos e preferências de uma mulher desejada para poder conquistá-la o tipo penal está perfeito.

Tipo objetivoO crime do artigo 154 – A, do Código Penal constitui tipo misto alternativo, crime de ação múltipla ou de conteúdo variado, pois que apresenta dois núcleos de conduta (verbos invadir ou instalar), podendo o agente incidir em ambos, desde que num mesmo contexto, e responder por crime único.

Não exige o tipo penal que o dispositivo informático esteja ligado à rede mundial de computadores ou mesmo rede interna empresarial ou institucional (internet ou intranet). Dessa forma estão protegidos os dados e informações constantes de dispositivos de informática e/ou telemática.

A invasão, conforme manda a lei, deve ser de dispositivo informático “alheio” e “mediante violação indevida” de “mecanismo de segurança” (elementos normativos do tipo). É claro que não se poderia incriminar alguém que ingressasse no próprio dispositivo informático; seria como incriminar alguém que subtraísse coisa própria no caso do furto. Além disso, a violação deve ser “indevida”, ou seja, desautorizada e sem justa causa. Obviamente que o técnico informático que supera mecanismo protetor para consertar aparelhagem não comete crime, inclusive porque tem a autorização expressa ou no mínimo tácita do cliente. Também não comete o crime a Autoridade Policial que apreende mediante ordem judicial aparelhos informáticos e manda periciar seus conteúdos para apuração criminal.

Anote-se, porém, que essa justa causa ou autorização deve existir do início ao fim da conduta do agente e este deve se ater aos seus estritos limites razoáveis. Por exemplo, se um técnico de informática tem a autorização para violar as chaves de acesso a um sistema de alguém para fins de conserto e o faz, mas depois coleta fotos particulares ali armazenadas, corrompe dolosamente informações ou dados extrapolando os limites de seu trabalho sem autorização do titular, passa a cometer infração penal. É importante ressaltar que, como não existe figura culposa, o erro muito comum em que o técnico em informática, ao realizar um reparo, formata o computador e acaba destruindo conteúdos importantes para a pessoa sem dolo, mas por negligência ou imperícia, não constitui crime. Pode haver, contudo, infração civil passível de indenização por danos morais e/ou materiais.

Tanto na conduta de invadir o sistema como de instalar vulnerabilidades o crime é formal. Isso porque a eventual obtenção de dados ou informações, adulteração ou destruição, bem como a obtenção de vantagem ilícita constituirão mero exaurimento. O crime estará consumado com a simples invasão ou instalação.

O objeto material da conduta é o “dispositivo informático alheio”. Estes são os computadores pessoais, industriais, comerciais ou institucionais. Além disso, hoje há uma infinidade de dispositivos informáticos, inclusive móveis, tais como os notebooks, tablets, netbooks, celulares com recursos de informática e telemática, Iphones, Smartphones ou quaisquer outros aparelhos que tenham capacidade de armazenar dados ou informações passíveis da violação prevista no tipo penal.

É importante notar que o legislador optou por não apresentar uma lista exaustiva dos aparelhos e assim agindo foi sábio. Ao usar a locução “dispositivo informático” de forma genérica, possibilitou a criação adequada de uma norma para a qual é viável uma “interpretação progressiva”, ou seja, o tipo penal do artigo 154 – A, CP é capaz de se atualizar automaticamente sempre que surgir um novo dispositivo informático, o que ocorre quase que diariamente na velocidade espantosa da ciência da computação e das comunicações. Essa espécie de redação possibilitadora de interpretação progressiva é a ideal para essas infrações penais ligadas à informática nos dias atuais, já que, caso contrário, correr-se-ia o risco de que a norma viesse a tornar-se obsoleta no dia seguinte em razão do Princípio da Legalidade Estrita.

É ainda importante ressaltar que não é qualquer dispositivo informático invadido que conta com a proteção legal. Para que haja o crime é necessário que o dispositivo conte com “mecanismo de segurança” (v.g. antivírus, “firewall”, senhas etc.). Assim sendo, o dispositivo informático despido de mecanismo de segurança não pode ser objeto material das condutas incriminadas, já que o crime exige que haja “violação indevida de mecanismo de segurança”. Dessa maneira, a invasão ou instalação de vulnerabilidades em sistemas desprotegidos é fato atípico. Releva observar que na requisição da perícia nesses casos é importante que a autoridade policial formule quesito a fim de que o perito indique a presença de “mecanismo de segurança” no dispositivo informático violado, bem como que esse mecanismo foi violado, indicando, inclusive, se possível, a forma dessa violação, para melhor aferição e descrição do “modus operandi” do agente.

Sinceramente não se compreende essa desproteção legislativa exatamente aos mais desprotegidos. É como se o legislador considerasse não haver violação de domicílio se alguém invadisse uma casa que estive com as portas abertas e ali permanecesse sem a autorização do morador e mesmo contra a sua vontade expressa! Não parece justo nem racional presumir que quem não instala proteções em seu computador está permitindo tacitamente uma invasão, assim como deixar a porta ou o portão de casa abertos ou destrancados não significa de modo algum que se pretenda permitir a entrada de qualquer pessoa em sua moradia. A forma vinculada disposta no tipo penal (“mediante violação indevida de mecanismo de segurança”) poderia muito bem não ter sido utilizada pelo legislador que somente deveria chamar a atenção para a invasão ou instalação desautorizadas e/ou sem justa causa. Isso seria feito simplesmente com a locução “mediante violação indevida” sem necessidade de menção a mecanismos de segurança.

Observe-se ainda que ao exigir a “violação indevida de mecanismo de segurança”, não bastará a existência de instalação desses mecanismos no dispositivo informático invadido, mas também será necessário que esses mecanismos estejam atuantes no momento da invasão, caso contrário não terá havido sua violação e o fato também será atípico, o que é ainda mais estranho. Explica-se: imagine-se que um computador pessoal é dotado de antivírus, mas por algum motivo esse antivírus foi momentaneamente desativado pelo próprio dono do aparelho. Se há uma invasão nesse momento, o fato é atípico! Note-se que neste caso o exemplo da porta aberta e da invasão de domicílio é realmente muito elucidativo. A casa tem portas, mas estas estão abertas, então as pessoas podem entrar sem a autorização do morador? É claro que não! Mas, parece que com os sistemas informáticos o raciocínio legislativo foi diverso e, diga-se, equivocadíssimo.

Na realidade o ideal, conforme já dito, seria que o legislador incriminasse diretamente somente a invasão ou instalação de vulnerabilidades, independentemente da violação de mecanismo de segurança. Poderia inclusive o legislador criar uma qualificadora ou uma causa especial de aumento pena para o caso de a invasão se dar com a violação de mecanismo de segurança. O desvalor da ação nesse caso seria justificadamente exacerbado como ocorre, por exemplo, no caso de furto qualificado por rompimento de obstáculo à subtração da coisa.

Retomando a questão do bem jurídico, nunca é demais lembrar que o que se protege são a privacidade e a liberdade individuais e não a rede mundial de computadores. Para que haja o crime é necessário que ocorra “invasão” indevida mediante violação de mecanismo de segurança. Dessa forma o acesso a informações disponibilizadas livremente na internet e redes sociais (v.g. Facebook, Orkut etc.), sem qualquer barreira de privacidade não constitui qualquer ilegalidade. Nesse caso há certamente autorização, no mínimo tácita, de quem de direito, ao acesso a todas as suas informações deixadas em aberto na rede.

Consumação e tentativaO crime é formal e, portanto, se consuma com a mera invasão ou instalação de vulnerabilidade, não importando se são obtidos os fins específicos de coleta, adulteração ou destruição de dados ou informações ou mesmo obtenção de vantagem ilícita. Tais resultados constituem mero exaurimento da infração em estudo. Não obstante formal, o ilícito é plurissubsistente, de forma que admite tentativa. É plenamente possível que uma pessoa tente invadir um sistema ou instalar vulnerabilidades e não o consiga por motivos alheios à sua vontade, seja porque é fisicamente impedida, seja porque não consegue, embora tente violar os mecanismos de proteção.

Conduta equiparada (artigo 154 – A, § 1º, CP)À semelhança do que ocorre com os crimes, por exemplo, previstos nos artigos 34 da Lei 11.343/06, 291 e 294, CP, o legislador prevê também como crime a conduta de quem atua de forma a fornecer ou disponibilizar de qualquer forma instrumentos para a prática do crime previsto no artigo 154-A, CP. Essa previsão legal está no § 1º, do citado artigo, onde se incrimina com a mesma pena do “caput” a conduta de quem “produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput”. Efetivamente tão relevante como invadir ou instalar vulnerabilidades em dispositivo informático é disponibilizar o instrumental necessário para tanto. A equiparação legal das condutas é correta.

Também o § 1º descreve crime de ação múltipla e de dolo específico, pois que exige o intuito de ensejar a prática das condutas previstas no “caput”.

Aumento de pena por prejuízo econômico (artigo 154 – A, § 2º, CP)A ocorrência de prejuízo econômico enseja um aumento de pena de um sexto a um terço. O incremento da lesão patrimonial produz agravamento do desvalor do resultado da conduta, justificando a exacerbação punitiva. O § 2º é bem claro, de forma que não há se cogitar de aplicação de aumento considerando eventual dano moral. Somente o prejuízo de caráter econômico–financeiro alicerça o aumento. Pretender equipar tal situação ao dano moral constituiria analogia “in malam partem” vedada na seara penal. Também é de se atentar que o aumento de pena do § 2º, até mesmo pela topografia do dispositivo, somente tem aplicabilidade para a figura simples e a figura equiparada (artigo 154 – A, “caput” e seu § 1º, CP), não alcançando a forma qualificada do § 3º.

Formas qualificadas (artigo 154 – A, § 3º, CP)

O § 3º do dispositivo sob comento prevê uma pena diferenciada de reclusão, de seis meses a dois anos e multa para os seguintes casos:

a)Quando a invasão possibilitar a obtenção de conteúdo de comunicações eletrônicas privadas;

b)Quando possibilitar a obtenção do conteúdo de segredos comerciais ou industriais;

c)Quando possibilitar a obtenção do conteúdo de informações sigilosas, assim definidas em lei;

d)Quando possibilitar o controle remoto não autorizado do dispositivo invadido.

A primeira observação de valia diz respeito à percepção de que o legislador transforma em qualificadoras fatos que seriam exaurimento do crime formal do artigo 154 – A, “caput”, CP. Para a configuração do crime simples de “Invasão de Dispositivo Informático” bastaria a invasão ou instalação de vulnerabilidade, sendo que a obtenção de outros dados ou informações ou mesmo destruição, adulteração ou vantagens ilícitas constituem exaurimento. Então, em geral, quando o agente conseguir obter dados ou informações efetivamente com a invasão ou vulneração haverá figura qualificada.

O primeiro caso diz respeito a “comunicações eletrônicas privadas” como, por exemplo, troca de e-mails, mensagens SMS, conversas reservadas em redes sociais ou salas de bate–papo da internet, trocas de fotos, imagens ou vídeos privados.

Na segunda figura está previsto o caso de violação de segredos comerciais ou industriais, o que justifica a exacerbação punitiva, dados os interesses econômicos e negociais que podem ser prejudicados. É irrelevante que os segredos sobreditos possam ser abertos devido a previsões contratuais de validade temporal do sigilo ou mesmo outras condições específicas. Se essas condições temporais ou de outra natureza não estiverem satisfeitas, o invasor responde pelo crime qualificado. Digamos, por exemplo, que uma empresa pactue que um segredo industrial será preservado por 20 anos e após esse período será aberto ao público e tornado inclusive de domínio público. A violação antes do prazo estipulado é crime qualificado. O mesmo se pode dizer se esse segredo fosse mantido, mediante a condição do adimplemento do pagamento de determinado valor em prestações. Se o adquirente do segredo, faltando ainda a última prestação a pagar, violar o sigilo sem autorização cometerá crime qualificado.

Já na terceira figura está previsto a acesso a informações sigilosas, “assim definidas em lei” (quando o texto se refere a lei não pode haver equiparação a outras espécies normativas como decretos, portarias, resoluções etc., trata-se de lei em sentido estrito). Aqui se tratam de informações protegidas por sigilo legal e naturalmente ligadas a órgãos governamentais, inclusive por questões de segurança nacional. Essa figura é uma “norma penal em branco imprópria ou homogênea”, pois que exige para seu complemento e aplicabilidade o recurso a outra lei que defina quais são as informações consideradas sigilosas. Ademais se trata de “norma penal em branco imprópria heterovitelina”, pois que o complemento necessário deverá ser buscado em outra lei e não no próprio Código Penal. [1] Hoje regulamenta a questão do acesso a informações sigilosas em todos os âmbitos federativos a Lei 12.527, de 18 de novembro de 2011.

Finalmente há previsão do caso em que a invasão enseje o “controle remoto não autorizado do dispositivo” violado. Trata-se denominada operação de “acesso remoto” que pode ser implantada legalmente e deliberadamente em empresas, por exemplo, por via de um programa chamado “Team Viewer”, o qual possibilita que uma equipe de trabalho tenha acesso, inclusive visual e operacional em tempo real a tudo aquilo que outros colegas estão fazendo em máquinas diversas. Entretanto, tal acesso remoto pode ser realizado de forma clandestina por meio de invasão por um vírus Trojan e então possibilitar ao invasor a manipulação de dados, informações, bem como até mesmo de ações no sistema informático alheio sem ciência ou autorização de quem de direito. Imagine-se que alguém consiga invadir um sistema de uma financeira por acesso remoto e dali excluir débitos de pessoas ou seus próprios débitos.

Em todos os casos qualificados pelo legislador há certamente um notável incremento do desvalor do resultado. Não importa se os segredos violados com a invasão estão armazenados no dispositivo informático por conteúdos de imagens, gravações de voz, documento escrito, desenhos, símbolos etc. O que importa é que o sigilo seja violado. Também não interessa se da violação ocorre efetivo dano material ou moral. Aliás, com relação ao eventual dano material (econômico), como já dito anteriormente, não é aplicável a causa de aumento do § 2º, que se destina somente ao “caput” e § 1º. Portanto, eventual dano decorrente das violações sobreditas caracterizará mero exaurimento no “iter criminis”.

Ressalte-se que as figuras qualificadas do § 3º, do artigo 154 – A, CP configuram crime subsidiário, de subsidiariedade expressa, pois que em seu preceito secundário prevê a norma que ela somente será aplicada “se a conduta não constitui crime mais grave”. Seriam exemplos de crimes mais graves a violação de sigilo bancário ou de instituição financeira nos termos do artigo 18 da Lei 7.492/86, bem como determinadas condutas previstas na Lei de Segurança Nacional (v.g. artigos 13 e 21 da Lei 7.170/83).

Outros aumentos de pena (artigo 154 – A, §§ 4º e 5º, I A IV, CP)A partir do § 4º, por disposição expressa ali contida, passam a ser previstas causas de aumento de pena aplicáveis estritamente aos casos do § 3º, ou seja, somente para os crimes qualificados, não alcançando as figuras simples ou equiparada. Efetivamente o § 4º diz expressamente: “na hipótese do § 3º”. Nada impede, porém, que ocorrendo a concomitância das causas de aumentos dos §§ 4º e 5º, estes sejam cumulados, incidindo sobre a pena prevista no § 3º.

O primeiro aumento, previsto no § 4º, é da ordem de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. Novamente o desvalor do resultado indica a exacerbação punitiva. Ora, diferente é o invasor obter os dados ou informações e guarda-los para si. Quando ele transmite esses dados a terceiros amplia o dano à privacidade ou ao sigilo, o que justifica a reprimenda mais gravosa. É por esse desvalor do resultado ampliado que o legislador erige em causa especial de aumento o que normalmente seria um “post factum” não punível ou mero exaurimento delitivo.

Já o § 5º, prevê um aumento que varia de um teço até a metade quando o crime qualificado tiver por sujeitos passivos as pessoas elencadas nos incisos I a IV do dispositivo. São elas: Presidente da República, Governadores, Prefeitos, Presidente do Supremo Tribunal Federal, Presidente da Câmara dos Deputados, Presidente do Senado Federal, Presidente de Assembléia Legislativa de Estado, Presidente da Câmara Legislativa do Distrito Federal, Presidente de Câmara Municipal ou dirigente máximo da administração direta ou indireta federal, estadual, municipal ou do Distrito Federal. Essas pessoas gozam de especial proteção legal não devido a um injustificado privilégio pessoal, mas sim por causa do cargo ocupado e da relevância de suas atribuições e importância diferenciada dos informes sigilosos que detém e podem envolver, como envolvem frequentemente, interesses que suplantam em muito a seara pessoal para atingir o interesse público e o bem comum.

Classificação doutrináriaO crime é comum, já que não exige especial qualidade do sujeito ativo. É também formal porque não exige no tipo básico (simples) resultado naturalístico para sua consumação, mas a mera invasão ou instalação de vulnerabilidade. Também é formal na figura equiparada porque não exige que o material para a prática delitiva cheque efetivamente às mãos do destinatário, ou seja, realmente utilizado. Já nas figuras qualificadas é material porque exige para consumação a obtenção efetiva de conteúdos ou o controle remoto não autorizado do dispositivo invadido. Em qualquer caso o crime é plurissubsistente, admitindo tentativa. Trata-se ainda de crime instantâneo, comissivo, doloso (não há figuras culposas ou omissivas) e unissubjetivo ou monossubjetivo porque pode ser perpetrado por uma única pessoa, não exigindo concurso. Também pode ser comissivo por omissão quando um garante deixar de cumprir com seu dever de agir nos termos do artigo 13, § 2º, CP. Finalmente trata-se de crime simples por tutelar apenas um bem jurídico, qual seja a privacidade e o sigilo de dados e informações contidos em dispositivos informáticos de qualquer natureza.

Algumas distinçõesÉ preciso estar atento para o fato de que o crime previsto no artigo 154 – A, CP pode ser meio para a prática de infrações mais graves, tais como estelionatos, furtos mediante fraude, dentre outros. Nesses casos, seja pela subsidiariedade, no caso do artigo 154 – A, § 3º, CP, seja pela consunção nos demais casos, deverá haver prevalência do crime–fim e afastamento do concurso formal ou material com o crime de “Invasão de Dispositivo Informático”.

A Lei 9.296/96 trata das interceptações telefônicas e também das interceptações de comunicações em sistemas informáticos e telemáticos (artigo 1º, Parágrafo Único), prevendo em seu artigo 10 crime para a realização dessas diligências fora dos casos legalmente previstos e sem ordem judicial. Como já dito, no confronto com o artigo 154 – A, § 3º, CP, a subsidiariedade ali expressa apontará para a prevalência do artigo 10 da Lei de Interceptação telefônica. Além disso, há que distinguir a interceptação da invasão de dispositivo informático ou de instalação de vulnerabilidades para obtenção, adulteração ou destruição de dados ou informações. Na interceptação telemática ou informática a comunicação é captada no exato momento em que ocorre e no crime previsto no artigo 154 – A, CP a obtenção das informações ou dados ocorre posteriormente, mediante invasão de dispositivo informático que as armazena ou guarda.

Uma coisa é instalar um dispositivo que permita ao infrator, sem ordem judicial, captar imediatamente no mesmo momento em que a mensagem SMS é digitada, o seu conteúdo (interceptação ilegal – artigo 10 da Lei 9.296/96), outra muito diversa é instalar um vírus espião para obter o teor dessas mensagens SMS armazenado num computador ou mesmo num celular ou smartphone (artigo 154 – A, CP). Ademais, a Lei de Interceptação Telefônica não prevê as condutas de adulteração, destruição de dados ou informações e nem mesmo de instalação de vulnerabilidades para obter vantagem ilícita. Finalmente não se deve confundir o crime do artigo 154 – A, CP com os crimes de “Inserção de dados falsos em sistemas de informação” (artigo 313 – A, CP) e de “Modificação ou alteração não autorizada de sistema de informações” (artigo 313 – B, CP). Ambos são crimes próprios de funcionário público contra a Administração em geral que prevalecem por especialidade em relação ao crime do artigo 154 – A, CP.

Pena e Ação PenalA pena prevista para o crime simples (artigo 154 – A, “caput”, CP) e para a figura equiparada (artigo 154 – A, § 1º, CP) é de detenção de 3 meses a 1 ano e multa. Dessa forma trata-se de infração de menor potencial ofensivo, afeta ao procedimento da Lei 9.099/95. Mesmo na forma majorada do § 2º, a pena máxima não ultrapassaria 1 ano e 4 messes (aumento máximo de um terço), de modo que seguiria como infração de menor potencial.

Também a forma qualificada do artigo 154 – A, § 3º, CP é abrangida pela Lei 9.099/95, eis que a pena máxima não ultrapassa dois anos (reclusão de 6 meses a dois anos e multa). Apenas nas hipóteses de aplicação dos aumentos de pena previstos nos §§ 4º ou 5º, é que a pena máxima iria ultrapassar o patamar de dois anos, de modo que não seria mais abrangida pela Lei 9.099/95. O único instituto dessa lei então aplicável seria a suspensão condicional do processo nos termos do artigo 89 daquele diploma, já que a pena mínima não ultrapassa um ano, nem mesmo com os acréscimos máximos. Somente cogitando da concomitância dos aumentos dos §§ 4º e 5º, é que o patamar, considerando os acréscimos máximos, suplantaria um ano na pena mínima de modo que nem mesmo a suspensão condicional do processo seria admissível.

O artigo 154 – B, CP regula a ação penal. A regra ali estabelecida é a da ação penal pública condicionada. Excepcionalmente a ação será pública incondicionada quando o delito for praticado contra a administração pública direta ou indireta de qualquer dos poderes da União, Estados, Distrito Federal ou Municípios e empresas concessionárias de serviços públicos. Esse dispositivo confirma a possibilidade da pessoa jurídica como sujeito passivo do ilícito. Entende-se ainda que quando as pessoas físicas elencadas no § 5º, do artigo 154 – A, CP forem vítimas o crime também será de ação penal pública incondicionada, tendo em vista que direta ou indiretamente a administração pública será atingida pela conduta do agente.

“Vacatio Legis” e outras disposiçõesA Lei 12.737/12 estabelece em seu artigo 4º, uma “vacatio legis” de 120 dias a partir da publicação oficial. Portanto, não pode ser aplicada imediatamente e nem poderá retroagir aos casos pretéritos quando entrar em vigor, vez que se trata de “novatio legis incriminadora”.

Já em seu artigo 3º, promove outras alterações de menor monta no Código Penal. No artigo 266, CP, que versa sobre a “Interrupção ou perturbação de serviço telegráfico ou telefônico”, inclui como crime equiparado a interrupção de serviço telemático ou de informação de utilidade pública, também prevendo como infração penal o impedimento ou dificultação de seu restabelecimento (novo § 1º). O próprio “nomen juris” do crime descrito no artigo 266 é alterado pela Lei 12.737/12. Agora se denomina “Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública”. A inovação é correta e já tardava, vez que os meios de comunicação há muito tempo superaram os simples serviços de telefonia e telegrafia. O antigo Parágrafo Único do artigo 266, CP é mantido agora na forma de um § 2º, e continua determinando a duplicação das penas se o crime é cometido por ocasião de calamidade pública.

No crime de “Falsificação de Documento Particular”, previsto no artigo 298, CP, a Lei 12.737/12 inclui um Parágrafo Único para fazer a equiparação de cartões de crédito e/ou débito a documento particular. Trata-se também de alteração que já tardava, tendo em vista a utilidade negocial dos referidos cartões e sua utilização no dia a dia, além do fato de que têm sido objeto de diversas falsificações e adulterações cuja tipificação penal criava dificuldades sobre a natureza ou não de documento. Agora não restará mais dúvida alguma, cartões de crédito ou débito são equiparados a documentos particulares por força de lei e quem os falsifique incide nas penas do artigo 298, CP.

Frise-se, porém, que também essas alterações nos artigos 266 e 298, CP somente vigorarão após o período de “vacatio legis” legalmente estabelecido e não poderão retroagir a fatos antecedentes.

---

[1] As “normas penais em branco próprias ou heterogêneas” são aquelas que exigem para seu complemento uma espécie normativa diversa da lei (v.g. Decreto, Resolução, Portaria etc.). Doutra banda, as “normas penais em branco impróprias homovitelinas” são aquelas cujo complemento está no mesmo diploma legal (v.g. conceito de casa no crime de violação de domicílio, dentro do próprio Código Penal).

Eduardo Luiz Santos Cabette é delegado de Polícia, professor de Direito Penal, Processo Penal e Legislação Penal e Processual Penal Especial no Centro Universitário Salesiano de São Paulo (Unisal).

Revista Consultor Jurídico, 4 de fevereiro de 2013