O Artigo 154-A do Código Penal e a Lei de Segurança Nacional

Rogério Tadeu Romano*

26 de julho de 2019 | 06h00

Segundo o jornal O Globo, em sua edição de 13 de junho de 2019:

“A Polícia Federal e o Ministério Público Federal (MPF) têm indícios de que o ataque hacker que expôs mensagens privadas do então juiz Sergio Moro e de procuradores foi muito bem planejado e teve alcance mais amplo do que se sabe até agora. Entre os alvos, estiveram integrantes das forças-tarefas da Lava-Jato de ao menos dois estados (Rio e Paraná) e do Distrito Federal, delegados federais de São Paulo, juízes do Rio e de Curitiba.”

Estamos diante da Operação Spoofing.

Segundo o Estadão, tem-se o que segue:

“Representantes da Polícia Federal afirmaram publicamente que os resultados preliminares da Operação Spoofing, deflagrada nesta terça-feira, 23, para apurar invasão a celulares do ministro da Justiça, Sérgio Moro, e outras autoridades no País, reforçam os indícios de que os quatro suspeitos presos foram responsáveis pelo ataques virtuais. Ainda segundo os investigadores, o mesmo grupo foi responsável pelo ataque de cerca de 1000 contas, incluindo de autoridades como o ministro da Economia, Paulo Guedes.”

“Resultados preliminares da investigação dão conta de que a conclusão da perícia estava adequada. A conclusão deve ser encaminhada ainda esta semana, amanhã ou depois (aos investigadores). Lá estão relatados a forma de operação entre outros detalhes”, disse o coordenador geral de Inteligência da PF, o delegado federal João Vianey Xavier Filho, em um pronunciamento à imprensa, sem permissão para perguntas.”

Os fatos envolvendo a ação de hacker em dispositivos informativos de juízes, procuradores da República, com atuação na operação lava jato devem ser enquadrados no artigo 154 – A do Código Penal.

A Lei 12.737, de 30 de novembro de 2012, publicada no DOU de 3 de dezembro do mesmo ano, tipificou um novo crime denominado Invasão de Dispositivo Informático, previsto no art. 154-A, do Código Penal, que entrou em vigor após 120 dias de sua publicação oficial, ou seja, em 3 de abril de 2013.

Eis o tipo penal:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: (Incluído pela Lei nº 12.737, de 2012) Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa. (Incluído pela Lei nº 12.737, de 2012)

§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. (Incluído pela Lei nº 12.737, de 2012)

§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012)

§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Vigência Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)

§ 4º Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012)

§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra: (Incluído pela Lei nº 12.737, de 2012)

I – Presidente da República, governadores e prefeitos; (Incluído pela Lei nº 12.737, de 2012) II – Presidente do Supremo Tribunal Federal; (Incluído pela Lei nº 12.737, de 2012) III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou (Incluído pela Lei nº 12.737, de 2012)

IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal. (Incluído pela Lei nº 12.737, de 2012) Vigência Ação penal (Incluído pela Lei nº 12.737, de 2012)

Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação salvo se o crime e cometido contra a administracao pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municipios ou contra empresas concessionarias de servicos publicos. (Incluido pela Lei nº 12.737, de 2012)

É crime de ação múltipla que envolve os verbos invadir (entrar, tomar conhecimento ou acessar sem permissão) e instalar (baixar, copiar ou salvar sem permissão), tendo como objeto material os dados e informações armazenadas bem como o próprio dispositivo informático da vítima que sofre a invasão ou a instalação de vulnerabilidades. A doutrina entende que é indiferente o fato de o dispositivo estar ou não conectado à rede interna ou externa de computadores (intranet ou internet). Trata-se de tipo misto alternativo, onde o agente responde por crime único se, no mesmo contexto fático, praticar uma ou as duas condutas típicas (invadir e instalar).

Trata-se de crime comum (aquele que pode ser praticado por qualquer pessoa), plurissubsistente (costuma se realizar por meio de vários atos), comissivo (decorre de uma atividade positiva do agente: “invadir”, “instalar”) e, excepcionalmente, comissivo por omissão (quando o resultado deveria ser impedido pelos garantes – art. 13, § 2º, do CP), de forma vinculada (somente pode ser cometido pelos meios de execução descritos no tipo penal) ou de forma livre (pode ser cometido por qualquer meio de execução), conforme o caso, formal (se consuma sem a produção do resultado naturalístico, embora ele possa ocorrer), instantâneo (a consumação não se prolonga no tempo), monossubjetivo (pode ser praticado por um único agente), simples (atinge um único bem jurídico, a inviolabilidade da intimidade e da vida privada da vítima).

A invasão de dispositivo informático é crime comum, assim, o sujeito ativo pode ser qualquer pessoa, uma vez que o tipo penal não exige nenhuma qualidade especial do agente. Sujeito passivo é a pessoa que pode sofrer dano material ou moral em consequência da indevida obtenção, adulteração ou destruição de dados e informações em razão da invasão de dispositivo informático, ou decorrente da instalação no mesmo de vulnerabilidades para obter vantagem ilícita, seja seu titular ou até mesmo um terceiro.

Invadir é violação indevida do mecanismo de segurança. A instalação pode ser feita para o delito por qualquer meio de execução existente. A invasão se dá em dispositivo alheio e sem autorização de seu possuidor.

O elemento subjetivo é o dolo específico, na vontade consciente de invadir dispositivo alheio.

Consuma-se, portanto, o delito no momento em que o agente invade o dispositivo informático da vítima, mediante violação indevida de mecanismo de segurança, ou instala no mesmo vulnerabilidades, tornando-o facilmente sujeito a violações.

Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

Há possibilidade de tentativa.

Tem-se causas de aumento de pena:

§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012)

§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)

§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012)

Prejuízo econômico, tal como exposto no parágrafo segundo do artigo 154 – A do CP, é conceito indeterminado, onde avulta perda de valores em dinheiro.

No caso específico citado poderão ser aplicados o parágrafo terceiro(qualificadora) e quarto(causa de aumento de pena):

“Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)”.

“Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012)”.

A lei de acesso à informação – Lei 12.527/2011 – prevê o direito de acesso a informações sigilosas e pessoais, desde que sejam observados e respeitados alguns critérios, em razão da classificação de cada informação a ser prestada.

Foi estabelecida classificação quanto a solicitação de informações sigilosas em relação ao grau de sigilo que deverá ser observado o interesse público da informação e utilizado o critério menos restritivo possível, considerados a gravidade do risco ou dano à segurança da sociedade e do Estado bem como o prazo máximo de restrição de acesso ou o evento que defina seu termo final.

Os prazos máximos quanto a classificação e restrição às informações em poder dos órgãos e entidades públicas e a respectiva competência são:

a) Para informações ultrassecretas: Prazo – 25 (vinte e cinco) anos – Competência -Presidente da República, Vice-Presidente da República, Ministros de Estado e autoridades com as mesmas prerrogativas, Comandantes da Marinha, do Exército, da Aeronáutica, e Chefes de Missões Diplomáticas e Consulares permanentes no exterior;

O crime, considerada a pena máxima de dois anos, é crime de menor potencial ofensivo e deve ser objeto de instrução nos Juizados Especiais Criminais.No caso do caput cabe o sursis processual na forma da Lei 9.099/95.

Há várias causas de aumento da pena que são traçadas no parágrafo quinto, nos incisos I a IV, conforme seja a autoridade envolvida.

É crime de ação penal pública condicionada à representação,salvo se o crime e cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionarias de servicos públicos. (Incluido pela Lei nº 12.737, de 2012). Os conceitos de administração direta e indireta(autarquias, fundações, empresas públicas, sociedades de economia mista) são próprias do direito administrativo.

Para melhor compreensão desse delito penal, que surge em plena época da informática, necessário fixar os seguintes conceitos:

I – Sistema informático: qualquer dispositivo ou o conjunto de dispositivos, interligados ou associados, em que um ou mais de um entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção. Sendo assim estarão inseridos no conjunto de dispositivos os computadores pessoais, notebooks, tablets, telefones móveis.

II – dados informáticos: qualquer representação de fatos, informações ou conceitos sob forma suscetível de processamento num sistema informático, incluindo programas aptos a fazerem um sistema informático a executar uma função. Esses dados podem ser números, letras ou símbolos(também chamados de caracteres), imagens registros, informações de usuários ou coisas, etc.

III – provedor de serviços: qualquer entidade, pública ou privada, que faculte aos utilizadores de seus serviços a capacidade de comunicações por meio de seu sistema informático, bem como qualquer outra entidade que trate ou armazene dados informáticos em nome desse serviço de comunicação ou de seus utentes. Aqui se fala sobre os provedores de serviços de internet, que são empresas que fornecem o acesso à internet – bem como àqueles sites que prestam serviços de gerenciamento(armazenamento, envio e recebimento) de correio eletrônico( e-mails), sítios ou sites, que chamamos de hospedagem de páginas.

IV – dados de tráfego; dados informáticos relacionados com uma comunicação efetuada por meio de um sistema informático, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o tráfego, a hora, a data, o tamanho, a duração ou o tipo de serviço subjacente.

O anteprojeto do Código Penal já fixava:

Art. 209: Acesso indevido, que vem a ser acessar indevidamente ou sem autorização, por qualquer meio, sistema informático protegido, expondo os dados informáticos a risco de divulgação ou de utilização indevida. O crime, que é de perigo, sujeita o sujeito ativo a penas de seis meses a um ano ou multa, permitindo a utilização do benefício da transação penal, conceituado como crime de menor potencial ofensivo. Por sua vez, na mesma pena incorre quem, sem autorização ou indevidamente produz, mantém, vende, obtém, importa, ou por qualquer outra forma distribui códigos de acesso, dados informáticos ou programas, destinados a produzir a ação descrita no caput do artigo(§ 1º). Se houver prejuízo econômico, aplica-se uma causa de aumento de pena de um sexto a dois terços, se do acesso resulta prejuízo.

Mas a periculosidade do grupo envolvido, cuja conduta deve ser vista diante da doutrina finalista do domínio do fato não para aí. Informa-se que também o presidente da República teria também seu aparelho de comunicação objeto da ação de hackers.

A gravidade do fato é gritante, pois informações sobre o comércio exterior, politica externa, segurança nacional poderão ter sido objeto de alcance. Para tanto, aplica-se ainda o artigo 13 da Lei de Segurança Nacional em concurso material.

Ali se dita:

Art. 13 – Comunicar, entregar ou permitir a comunicação ou a entrega, a governo ou grupo estrangeiro, ou a organização ou grupo de existência ilegal, de dados, documentos ou cópias de documentos, planos, códigos, cifras ou assuntos que, no interesse do Estado brasileiro, são classificados como sigilosos.

Pena: reclusão, de 3 a 15 anos.

Se o objetivo era espionagem, fato de enorme gravidade, então aplicar-se-ia o parágrafo único daquele artigo:

Parágrafo único – Incorre na mesma pena quem:

I – com o objetivo de realizar os atos previstos neste artigo, mantém serviço de espionagem ou dele participa;

II – com o mesmo objetivo, realiza atividade aerofotográfica ou de sensoreamento remoto, em qualquer parte do território nacional;

III – oculta ou presta auxílio a espião, sabendo-o tal, para subtraí-lo à ação da autoridade pública;

IV – obtém ou revela, para fim de espionagem, desenhos, projetos, fotografias, notícias ou informações a respeito de técnicas, de tecnologias, de componentes, de equipamentos, de instalações ou de sistemas de processamento automatizado de dados, em uso ou em desenvolvimento no País, que, reputados essenciais para a sua defesa, segurança ou economia, devem permanecer em segredo.

Trata-se de crime permanente, de perigo. O dolo é o elemento subjetivo do crime.

O fato por sua gravidade se assemelha a outros já havidos na experiência internacional.

O editor do Intercept Brasil Glenn Greenwald comparou-se ontem a Julian Assange, fundador do site WikiLeaks, atualmente preso em Londres, depois de viver sete anos exilado na embaixada do Equador na capital inglesa.

Assange é o fundador do site Wikileaks, que publicou documentos sigilosos sobre a atuação dos Estados Unidos nas guerras o Iraque e Afeganistão. Vazados pelo soldado Bradley Manning, que hoje se chama Chelsea depois de uma operação de troca de sexo, os documentos foram publicados em vários grandes jornais do mundo.

Chelsea foi condenada por divulgar documentos de Estado sigilosos, mas teve a pena comutada em 2017 pelo presidente Obama.

Outro caso famoso é o de Edward Snowden, analista de sistemas que trabalhou na CIA e na NSA, e divulgou no Guardian, de Londres, e no Washington Post, dos Estados Unidos, documentos detalhando programas do sistema de vigilância global de comunicações do governo americano.

Foi acusado de roubo de propriedade do governo, comunicação não autorizada de informações de defesa nacional e comunicação intencional de informações classificadas como de inteligência para pessoa não autorizada.

Houve também os Pentagon Papers, documento sigiloso sobre a atuação militar dos Estados Unidos na guerra do Vietnã tornado público por Daniel Ellsberg, fucionário do Pentágono, primeiro pelo New York Times e em seguida pelo Washington Post.

Em todos esses casos, graves informações de politica de Estado foram objeto de interceptação. Sabemos o que representaram na história recente.

*Rogério Tadeu Romano, procurador Regional da República aposentado. Professor de Processo Penal e Direito Penal. Advogado

Tudo o que sabemos sobre:

Artigo

Tendências: