Como informou o site do Correio Braziliense, em 10 de dezembro de 2021, o site do Ministério da Saúde e o aplicativo ConecteSUS sofreram uma ataque hacker na madrugada desta sexta-feira (10/12). Nas duas páginas, os invasores deixaram uma mensagem que dizia que “50 TB de dados foram copiados e excluídos” e que o ataque tinha sido um “ransomware”.

O malware é um tipo de vírus que bloqueia o acesso a um site e cobra um valor pelos dados, como se fosse um sequestro. Para ter os dados de volta, os invasores pedem para ser contactados.

Será caso de aplicação da Lei 14.155/21.

O presidente Jair Bolsonaro sancionou a lei que endurece as punições previstas no Código Penal para crimes cometidos por meio de dispositivos eletrônicos, ou seja, os cibernéticos.

De acordo com o texto sancionado, os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet, ficaram ainda mais graves. Com a nova legislação, a pena passou a ser de um a quatro anos de reclusão e multa. Anteriormente, a punição era detenção de três meses a um ano e multa.

A lei sancionada prevê que a pena de reclusão seja aplicada a condenações mais severas e o regime de cumprimento pode ser fechado. Já a detenção é aplicada para condenações mais leves e não admite que o início do cumprimento seja em regime fechado.

Para casos em que há prejuízo econômico, o texto sancionado prevê que a pena pode aumentar de um a dois terços. Já se a invasão do dispositivo levar ao acesso de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, ou ao controle remoto não autorizado do dispositivo invadido, a pena imposta pode variar de dois a cinco anos de reclusão.

O art. 154-A do Código Penal passou a ter a seguinte redação:

Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita: Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.

§ 2º Aumenta-se a pena de 1/3 (um terço) a 2/3 (dois terços) se da invasão resulta prejuízo econômico.

§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena – reclusão, de 2 (dois) a 5 (cinco) anos, e multa.

Trata-se de crime formal e que exige o dolo como elemento do tipo.

Pela pena aplicada o Parquet pode apresentar uma proposta de acordo de não persecução penal.

Não será caso de crime de menor potencial ofensivo em face da pena máxima in abstrato, cabendo falar em hipótese de prisão em flagrante ou ainda prisão preventiva se for o caso.

O caso do parágrafo terceiro do artigo 154 -A se insere no caso da conduta que envolve o ataque ao sistema do site do Ministério da Saúde e o aplicativo ConecteSUS ocorrido recentemente no Ministério da Saúde. Aqui há ainda a hipótese de proposta de acordo de não persecução penal se for o caso.

Pode ser aplicada o sursis processual na forma do artigo 89 da Lei nº 9.099/95, na medida em que tal pedido seja apresentado no bojo da denúncia.

Verifica-se o aumento da pena na forma qualificada, também tornando passível a aplicação da prisão preventiva, e supressão da subsidiariedade da infração penal, no tocante à conduta não constituir crime mais grave.

A nova redação deixa de exigir que o dispositivo informático seja de propriedade do usuário do dispositivo e faz menção à falta de autorização expressa ou tácita do usuário (titular, na redação anterior).

Art. 155

(…)

§ 4º-B. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo.

§ 4º-C. A pena prevista no § 4º-B deste artigo, considerada a relevância do resultado gravoso:

I – aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização de servidor mantido fora do território nacional;

II – aumenta-se de 1/3 (um terço) ao dobro, se o crime é praticado contra idoso ou vulnerável.

O furto mesmo eletrônico é crime material, instantãneo, que exige o dolo como elemento do tipo. Trata-se de crime instantâneo. Ainda no caso da invasão eletrônica do sistema do SUS com retirada de dados de usuários poder-se-á falar em furto eletrônico com base no parágrafo quarto do artigo 155.

Ensina-nos Cezar Roberto Bitencourt(Furto mediante uso de dispositivo eletrônico ou informático, in Consultor Jurídico, em 14 de junho de 2021), estudando a primeira subespécie da qualificadora que:

“A primeira subespécie dessa qualificadora é a subtração da coisa alheia móvel praticada mediante fraude, com o uso de dispositivo eletrônico ou informático. É irrelevante, para a definição legal, que referido dispositivo esteja ou não conectado à rede de computadores e que haja ou não violação de mecanismo de segurança porventura existente. No entanto, a não conexão da rede de computadores diminui ou até elimina a sua periculosidade, posto que sem rede e sem conexão virtual reduz-se consideravelmente o dano que a gravidade dessa ação delituosa poderia produzir. Convém destacar que a gravidade da conduta estando conectado à internet (ou similar) é uma e, na sua ausência, será outra consideravelmente inferior. Pois, para o legislador a maior gravidade dessa conduta fraudulenta de subtrair coisa alheia móvel, ciberneticamente, reside exatamente na utilização da rede mundial de computadores ou similar, na comunicação virtual e instantânea, na maior facilidade de execução, quando o infrator se utiliza de meio eletrônico ou informático.

Em outros termos, a maior punição dessa forma qualificada de subtração da coisa alheia móvel fundamenta-se, principalmente, na utilização dessa tecnologia avançada para fraudar ou ludibriar a atenção da vítima, dificultando e, por vezes, até inviabilizando a autoproteção pessoal e patrimonial. Com efeito, nessas circunstâncias, qualquer vítima, fica totalmente vulnerável, a mercê da picardia, da habilidade e da maldade dos denominados “ladrões cibernéticos”, justificando-se, na ótica do legislador, a punição desse tipo de crime, com uma pena de reclusão tão grave. A maior gravidade da conduta fraudulenta de subtrair coisa alheia móvel reside na utilização de meio eletrônico ou informático que, segundo a exposição de motivos, “explodiram” no período pandêmico, com gravíssimos danos a grande quantidade de vítimas. Realmente, nessas circunstâncias, qualquer vítima fica totalmente vulnerável, a mercê da picardia, da habilidade e, porque não dizer, da maldade dos denominados “ladrões cibernéticos”, justificando-se, na ótica do legislador, a qualificação desse tipo de crime.

A rigor, o texto legal não identifica com segurança a configuração de fraude no simples uso de dispositivo eletrônico informático, especialmente quando desconectada da rede mundial de computadores (ou similares), pois constituiria a mera utilização da tecnologia moderna, aliás, usada no quotidiano. Seria somente a utilização de um meio informático, já penalizada pela própria qualificadora. Essa definição demanda uma boa interpretação de nossos Tribunais, especialmente pela gravidade da punição, especialmente quando não conectado na rede mundial de computadores ou outras redes similares.”

O artigo 155, parágrafo quarto, b, ainda nos revela a expressão: “com utilização de programa malicioso”:

A respeito disso ainda nos disse Cezar Bitencourt(obra citada):

“Contudo, a valoração deve ser outra quando se examina a segunda subespécie dessa qualificadora, qual seja, com “a utilização de programa malicioso”, porque aí, nessa modalidade, reside efetivamente o aspecto fraudulento, pois por tal descrição pode-se interpretar efetivamente como modo ou meio fraudulento, sorrateiro, ardiloso ou algo semelhante ao uso de “artifício”, justificando-se, inclusive, a equiparação, genérica de “qualquer outro meio fraudulento análogo”, que o próprio texto legal utiliza. Essa elementar típica representada pela locução “com utilização de programa malicioso”, constitui, digamos, uma espécie sui generis de modo de execução de subtração do patrimônio alheio, mas usando, necessariamente, o mesmo meio executório, qual seja, “dispositivo eletrônico ou informático”. Muda-se somente o modo de execução: na primeira figura utiliza-se a “subtração mediante fraude”, embora não identificada pela descrição legal em que consistiria tal fraude. Nesta segunda figura, mantém-se o mesmo “meio” — uso de dispositivo eletrônico ou informático — alterando-se o “modo” de sua execução, qual seja, “com utilização de programa malicioso”.

Pelo que se depreende do contexto, “programa malicioso” foi utilizado pelo legislador para se referir à utilização de vírus que, na linguagem universal da internet, são denominados de programas maliciosos (malware), desenvolvidos com a finalidade de realizar ações danosas, viciadas, criminosas em um computador. Com a instalação de “códigos maliciosos” passam a acessar os dados armazenados em computadores alheios e podem, inclusive, executar ações em nome dos usuários, produzindo ou podendo causar danos incomensuráveis. Daí a utilização adequada dessa terminologia, porque, realmente, de formas variadas, essa conduta pode fraudar não apenas pessoas desavisadas, mas qualquer do povo, com a malícia, habilidade e técnica desses criminosos cibernéticos. Assim, podem, das formas mais diversas, infectar ou comprometer computadores alheios. Esta subespécie de qualificadora realmente se justifica, ao contrário da anterior. Destaca-se alguns exemplos ardilosos ou maliciosos:

a) Pela exploração de vulnerabilidades existentes nos programas instalados;

b) Pela autoexecução de mídias removíveis infectadas, como pen-drives etc.;

c) Pelo acesso a páginas Web maliciosas, utilizando navegadores vulneráveis;

d) Pela ação direta de ataques que, após invadirem o computador, incluem arquivos contendo códigos “maliciosos”;

e) Pela execução de arquivos previamente infectados, obtidos em anexos de mensagens eletrônicas, via mídias removíveis, em páginas Web ou diretamente de outros computadores

Nesta figura, embora o texto não o diga expressamente, o infrator adota um comportamento ardiloso, sorrateiro ou de qualquer modo dissimulado, obtendo, inclusive, os “dados eletrônicos” da própria vítima ou de terceiro, embora, normalmente, acessem os aparelhos sorrateiramente, sem que a vítima perceba, inclusive à distância. No entanto, esta qualificadora — em suas três subespécies — 1) furto mediante fraude com uso de dispositivo eletrônico ou informático, 2) com a utilização de programa malicioso e 3) ou por qualquer outro meio fraudulento análogo — implicam no abuso da boa-fé da vítima, aliás, o modus operandi indica esse aspecto. Poder-se-ia afirmar que se trata de uma qualificadora que traz implícita a má-fé do infrator que age enganando, ludibriando a confiança, a atenção e o controle da vítima, configurando, mutatis mutandis, um certo status, digamos assim, de “furto-estelionato”, pela forma ou modos em que a mesma é executada.”

Quanto a expressão “meio fraudulento análogo”, utilizada na parte final do artigo 155, parágrafo quarto B, dir-se-á que o furto não é crime que busque a fraude, mas a subtração, sem violência ou grave ameaça. A utilização de artifício, ardil (espécies de fraudes) ou qualquer outra forma de manobra ou subterfúgio, mais ou menos elaborados, para enganar a vítima, é característica intrínseca do crime de estelionato. Não é do crime de furto, cuja característica especial ou intrínseca é o descuido ou a desatenção da vítima, segundo a tipologia adotada pelo Código Penal em vigor. Em tal circunstância ter-se-á o estelionato na forma do artigo 171, § 2º, do CP.

Tem-se ainda o artigo 171, § 2º – A :

§ 2º-A. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se a fraude é cometida com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo. (Incluído pela Lei nº 14.155, de 2021).

§ 2º-B. A pena prevista no § 2º-A deste artigo, considerada a relevância do resultado gravoso, aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização de servidor mantido fora do território nacional.

Estamos aqui diante de um novo tipo penal e de nova qualificadora com pena elevada, podendo ultrapassar 13 anos de condenação nos casos de aumento de pena.

O estelionato é crime instantâneo, material, que exige, necessariamente, o dolo como elemento do tipo.

Diferente da qualificadora inserida no crime de furto, aqui não há menção específica a dispositivo eletrônico ou informático. É a invasão que possibilita o cometimento da fraude, sem que a vítima conheça esta situação, como bem lembraram disseram Patricia Peck Pinheiro, Genival Silva Souza Filho, Luciane Shinohara e Rafaella Avanço(A nova lei de combate às fraudes eletrônicas, in Migalhas, em 24 de junho de 2021. É a fraude como característica básica do estelionato no intuito de enganar a vítima e dela obter ganho.

Além disso, incidirá a majorante do § 2º-B para o crime quando praticado mediante utilização de servidor mantido fora do território nacional.

A nova lei traz à colação o parágrafo quarto do artigo 171 onde se fala em estelionato eletrônico contra idoso ou vulnerável.

§ 4º A pena aumenta-se de 1/3 (um terço) ao dobro, se o crime é cometido contra idoso ou vulnerável, considerada a relevância do resultado gravoso.

A nova lei ainda altera o artigo 70, § 4º, do CPP ao trazer a seguinte redação, definindo a competência para os crimes de estelionato derrubando entendimento sumulado anterior:

4º Nos crimes previstos no art. 171 do Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), quando praticados mediante depósito, mediante emissão de cheques sem suficiente provisão de fundos em poder do sacado ou com o pagamento frustrado ou mediante transferência de valores, a competência será definida pelo local do domicílio da vítima, e, em caso de pluralidade de vítimas, a competência firmar-se-á pela prevenção.

Em razão disso entendo que, em face de direito processual intertemporal, a aplicação será imediata.

Como disseram Patricia Peck Pinheiro, Genival Silva Souza Filho, Luciane Shinohara e Rafaella Avanço(A nova lei de combate às fraudes eletrônicas, in Migalhas, em 24 de junho de 2021) no momento torna-se forçoso compreender a nova lei e torná-la aliada na melhora dos procedimentos de segurança da informação e cibernética voltados a mitigar a ocorrência de fraudes eletrônicas e seu impacto às organizações.

Caberá à Policia Federal, no âmbito dessa nova Lei Penal Extravagante fazer as investigações sobre o caso em todas as suas circunstâncias de materialidade e autoria.

A atribuição e legitimidade para o exercício das medidas no âmbito do processo penal é do Ministério Público Federal, cabendo à Justiça Federal julgá-los.

Observe-se, pois, da gravidade do delito, o aspecto multitudinário que pode ocorrer em relação às vítimas dessa conduta criminosa, o que exigirá, na medida do possível, o necessário fracionamento da investigação à luz do artigo 80 do CPP(será facultativa a separação de processos).

*Rogério Tadeu Romano, procurador regional da República aposentado. Professor de Processo Penal e Direito Penal. Advogado