Entenda o Projeto sobre Cibercrimes

Paulo sei la oque - Agora posso ser preso so por encontrar um vul. @@@ Fd000 x/x/x/x/x/

Foi aprovado ontem o Projeto de Lei 2793/2011, de minha co-autoria, que altera o Código Penal, para acrescentar crimes na área da Internet. O Projeto agora vai à sanção presidencial. Esse PL é um avanço significativo porque leva em consideração três pontos: A continuidade do desenvolvimento da internet; a garantia da liberdade de expressão e, o mais importante, que a punição recaia apenas naqueles que utilizam a internet com intenção criminosa.

• Este Projeto observa os direitos e garantias dos cidadãos e dos usuários da Internet, conforme previstos no Projeto de Lei do Marco Civil da Internet, PL 2.126/2011, que continua sendo prioridade minha. Ontem, houve obstrução por parte de vários Partidos e por isso, ao contrário do acordado com o Governo, infelizmente o Marco Civil não pôde ser votado. Mas está na pauta de terça-feira próxima, dia 13 de novembro, e faremos o possível para aprová-lo.

• Não criminaliza atos corriqueiros que a população pratica no dia-a-dia.

• Oferece uma alternativa equilibrada de repressão à condutas socialmente consideradas como indesejáveis, sem resultar em criminalização excessiva, como propunha o PL 84.

• É resultado de um amplo debate público junto à sociedade: especialistas e professores da área da Internet e da tecnologia da informação, Direito Penal, associações de combate à pornografia infantil, instituições financeiras, entidades de defesa do consumidor, dentre outras.

• Houve amadurecimento e aprimoramento das discussões por meio da plataforma eletrônica e-Democracia, da Câmara dos Deputados.

• Altera o Código Penal, tipificando como crime algumas condutas praticadas na Internet, no âmbito das tecnologias da informação.

• Não promove modificações em leis específicas, como o Estatuto da Criança e do Adolescente (ECA) ou a lei de interceptações telefônicas.

• Os tipos penais exigem que haja necessariamente finalidade de causar dano. Caso algum usuário da Internet cometa algum ato previsto na tipificação deste Projeto sem, contudo, ter o intuito ou a finalidade de causar dano, não haverá enquadramento nos tipos penais previstos.

• A guarda de registros (logs) de conexão na Internet não são tratadas neste Projeto, uma vez que esse aspecto não diz respeito necessariamente a questões criminais e, portanto, está já devidamente tratado pelo Marco Civil da Internet.

• Há importante excludente de ilicitude para testes de segurança e pesquisa acadêmica, de modo a não criminalizar atos praticados no âmbito de testes de segurança.

1) Invasão de dispositivo informático

Art. 154-A do Código Penal: “Invadir dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades, para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.”

É a invasão (indevida) com a finalidade de adulterar ou destruir dados (sem autorização), instalar vulnerabilidades, tais como vírus, ou obter vantagem ilícita.

Precisa ser um dispositivo alheio (de terceiro): a violação de um dispositivo pelo seu proprietário não é punível. Portanto, “jailbreak” ou desbloqueio de um celular, não é crime.

Exemplo: invadir computador ou celular de terceiro com o objetivo de obter, por exemplo, fotos sem autorização do dono.

Há importantíssimo excludente de ilicitude na parte final do artigo (“para obter vantagem ilícita”), de modo a indicar a finalidade do tipo penal. A pessoa que faz testes de segurança possui o intuito de não apenas invadir o sistema, violando mecanismo de segurança, mas também possui, sim, o intuito de adulterar dados. É justamente com a tentativa e possível adulteração ou destruição de dados que se faz o teste de segurança – e eventual constatação de vulnerabilidade existente. Para se saber se há vulnerabilidade, precisa-se testar, leia-se, tentar e porventura executar a adulteração de dados. O que não pode ocorrer é o intuito de se obter vantagem ilícita. Aí sim, estar-se-ia incorrendo no tipo penal. Do contrário, seria crime de mera conduta.

Ou seja, testes de segurança e pesquisas no âmbito acadêmico estão autorizados e não são crime.

2) Produção, oferecimento, distribuição, venda ou difusão (art. 154-A, §1º)

“§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.”

Busca punir aquele que, intencionalmente, contribui para que uma pessoa pratique a violação do dispositivo de um terceiro, pela produção, venda ou difusão de dispositivo ou programa de computador que permita isto.

Não abrange a produção de dispositivos ou programas de computador para o mero teste de segurança de sistemas.

Exemplo: criar, comercializar ou difundir vírus de computador, com o intuito de permitir o roubo de senhas ou a invasão de dispositivos informáticos, como celular, computador etc.

3) Prejuízo econômico: aumento de pena (art. 154-A, §2º)

“§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.”

Pune a existência de danos concretos à  vítima, representados por prejuízo econômico.

Exemplo: se depois da invasão ainda houver, por exemplo destruição de arquivos que implique em prejuízo econômico, a pena será aumentada.

Pena: detenção, de 3 meses e 15 dias a 1 ano e 4 meses.

4) Obtenção de conteúdo de comunicações eletrônicas privadas ou controle remoto não autorizado (art. 154-A, §3º)

“§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais e industriais, informações sigilosas assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave”

O §3º cria o tipo penal da invasão seguida de obtenção de conteúdo de comunicações eletrônicas privadas (e.g., e-mail) ou controle remoto não autorizado do dispositivo invadido, prática comumente utilizada para o cometimento de outros crimes.

Exemplo: obter conteúdo de e-mails ou controlar computadores de terceiros por meio de métodos tais como tornar o computador de terceiros zumbis, ou seja, que obedeçam aos comandos de terceiros, a distância, e não necessariamente de seu dono.

5) Divulgação ou comercialização (art. 154-A, §4º)

“§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.”

Aumento de pena para a comercialização ou a divulgação desses dados obtidos. A pena é maior porque existe maior lesividade à privacidade ou aos segredos ou sigilos violados.

Exemplo: comercializar segredos industriais obtidos com violação de dispositivo informático. Encaminhar ou publicar na Internet fotos privadas obtidas indevidamente, por meio da violação de sigilo de e-mail.

Pena: de 8 meses a 3 anos e 4 meses.

6) Altos dirigentes da Administração Pública (art. 154-A, §5º)

“§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra:

I – Presidente da República, governadores e prefeitos;

II – Presidente do Supremo Tribunal Federal;

III – Presidente da Câmara dos Deputados; do Senado Federal; de Assembléia Legislativa de Estado; da Câmara Legislativa do Distrito Federal ou de Câmara de Vereadores; ou

IV – Dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.”

7) Ação Penal condicionada à representação do ofendido (art. 154-B)

“Art. 154-B. Nos crimes definidos no art. 154-A somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.”

8 ) Interrupção ou perturbação de serviços telemáticos ou de informação de utilidade pública (art. 266, §1º)

“Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública

“Art. 266…………………………………………………………………………………………….

…………………………………………………………………………………………………………………

§1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.

§2º Aplicam-se as penas em dobro, se o crime é cometido por ocasião de calamidade pública.”

A proposta insere o “serviço telemático” (sinônimo para serviços informáticos ou de dados, como a Internet, por exemplo) entre os serviços de utilidade pública passíveis de interrupção (inclusão de §1º ao art. 266 do Código Penal). Na redação atual do Código Penal, listam-se apenas os serviços telegráficos, radiotelegráficos ou telefônicos.

Exemplo 1: “Derrubar” um website ou torná-lo notadamente mais lento por meio de um ataque distribuído por negação de serviço (DDoS – distributed denial-of-service), ou seja, por tentativas de acessos múltiplos acima da capacidade suportada pelo provedor, passa a fazer parte do tipo penal.

Exemplo 2: impedir ou dificultar o restabelecimento de serviço telemático (website, por exemplo) ou de serviço de utilidade pública também passa a fazer parte do tipo penal.

9) Falsificação de cartão de crédito ou de débito (art. 298, parágrafo único)

“Falsificação de documento particular

Art. 298……………………………………………………………………………………………….

………………………………………………………………………………………………………….

Falsificação de cartão

Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito.”

O Projeto inclui entre os documentos passíveis de enquadramento no tipo penal de “falsificação de documento particular” o cartão de crédito ou débito, mediante inclusão de parágrafo único ao art. 298 do Código Penal.