Falta de legislação pode deixar hackers do STJ e do TSE sem punição
Integrantes da PF e do MPF afirmam que, a menos que seja possível provar teses de extorsão ou violação da Lei de Segurança Nacional, as punições não passam de um ano de detenção
- Data: 08/01/2021 13:01
- Alterado: 08/01/2021 13:01
- Autor: Redação ABCdoABC
- Fonte: Estadão Conteúdo
Falta de legislações específicas para crimes virtuais
Crédito:Depositphotos
Nos primeiros dias de novembro, um ataque hacker interrompeu os trabalhos no Superior Tribunal de Justiça (STJ) e paralisou o julgamento de ao menos 12 mil processos por uma semana. Doze dias depois, foi a vez do Tribunal Superior Eleitoral (TSE) ser o alvo, em pleno primeiro turno das eleições municipais, o que colocou em dúvida o sistema de votação. Passados mais de dois meses, autoridades que investigam os casos temem que os responsáveis fiquem sem punições e continuem a atuar livremente. O motivo é a falta de legislações específicas para estes tipos de crimes virtuais.
Integrantes da Polícia Federal (PF) e do Ministério Público Federal (MPF) afirmam que, a menos que seja possível provar teses de extorsão ou violação da Lei de Segurança Nacional, as punições não passam de um ano de detenção – facilmente convertida em prestação de serviços comunitários.
“Até conseguimos enquadrar as pessoas nos tipos penais que temos. Não temos fraude eletrônica bancária na legislação, por exemplo, mas temos fraude. O problema é que, com crime cibernético, a consequência é muito maior. Se conseguirmos encontrar o responsável, o tipo penal de ‘invasão’ é detenção de três meses a um ano. Vamos ter que enquadrar a pessoa na Lei de Segurança Nacional porque a resposta penal é ridícula”, afirma a procuradora Fernanda Teixeira Souza Domingos, coordenadora do Grupo de Apoio ao Combate aos Crimes Cibernéticos, do MPF.
O principal dispositivo para punir crimes cibernéticos é o artigo incluído no Código Penal em 2012 pela Lei Carolina Dieckmann. A medida ganhou este nome por ter como base um caso ocorrido com a atriz, que teve arquivos pessoais copiadas de seu computador e divulgados na internet. A legislação considera crime “invadir dispositivo informático alheio”. A punição pode variar de três meses a um ano de detenção.
Conforme as leis brasileiras, em penas de até quatro anos de prisão o cumprimento se dá em regime aberto. Até dois, há a chamada transação penal (no jargão jurídico), na qual o processo acaba substituído por serviços comunitários, por exemplo.
O crime previsto nesse artigo foi usado pelo MPF na denúncia oferecida em janeiro de 2020 contra os hackers que acessaram mensagens trocadas por autoridades da República, como as de integrantes da força-tarefa da Lava Jato e do então ministro da Justiça, Sérgio Moro. “É urgente que o Brasil atualize sua legislação, baseada exclusivamente na Lei Carolina Dieckmann e no Marco Civil da Internet, visando criar as condições jurídicas que permitam às autoridades policiais agirem contra os hackers internacionais, como já fazem outros países”, diz o advogado Solano de Camargo, especialista em Direito Digital.
A expectativa dos investigadores para que os responsáveis pelos ataques ao STJ e ao TSE não saiam sem punição à altura é mostrar que as ações resultaram também em outros crimes, secundários, mas que preveem penas mais duras. Nos dois casos, associação criminosa e extorsão, estão no radar.
No caso do TSE, há dúvidas até mesmo se é possível enquadrar os responsáveis na lei que criminaliza a invasão a computadores. Isso porque os indícios coletados até agora apontam para uma técnica diferente usada por eles, em que não há a invasão propriamente dita, mas os chamados ataques de negação de serviço (DDoS), que resultam em lentidão no sistema, sem acesso a dados, por exemplo.
Quando eles foram alvo de mandados de busca e apreensão expedidos pela Justiça Eleitoral, investigadores apontaram suspeita de violação ao Código Eleitoral, no artigo que estabelece detenção de até dois meses para quem “promover desordem que prejudique os trabalhos eleitorais”.
As investigações estão sob sigilo e ainda não foram concluídas. Enquanto isso, os três brasileiros suspeitos de ajudar um hacker português nos ataques no dia das eleições retornaram à ativa. Ainda sem acesso a computadores e celulares apreendidos, eles afirmaram ter conseguido novas máquinas e, nesta semana, reivindicaram a autoria da invasão a servidores da Universidade de São Paulo (USP), de prefeituras e de câmaras municipais.
Propostas para atualizar leis sobre crimes virtuais estão paradas no Congresso
A maior dependência da tecnologia para comunicações e negócios durante a pandemia da covid-19 ampliou a atuação de cibercriminosos no País. No ano passado, foram 24.328 notificações registradas por órgãos públicos, segundo monitoramento do Gabinete de Segurança Institucional (GSI) da Presidência. O número é maior que os 23.674 de 2019. O salto maior foi nas vulnerabilidades efetivamente encontradas nos sistemas brasileiros: 2.519 contra 1.201, de um ano a outro.
Apesar do fenômeno e dos grandes ataques registrados no País, propostas para atualização das leis de crimes cibernéticos e para endurecimento das penas estão paradas no Congresso. Na avaliação de congressistas, os temas obrigatoriamente precisarão ser levados às mesas dos próximos presidentes da Câmara e do Senado, a serem eleitos em fevereiro.
Duas medidas são consideradas por especialistas fundamentais para este ano. A primeira é a aprovação da adesão brasileira à Convenção de Budapeste sobre Cibercriminalidade do Conselho da Europa, único tratado internacional sobre o assunto. O pacto prevê que o Brasil adeque sua legislação e adote medidas para adotar estratégias conjuntas de enfrentamento de crimes praticados na internet. Atualmente, a convenção conta com mais de 60 países signatários.
Uma vez referendada a entrada do País, abre-se a possibilidade de cooperação entre os integrantes. A estratégia é considerada por especialistas como primordial no combate a um tipo de crime que costuma envolver atacantes e tecnologias de países distintos.
O convite ao Brasil, feito após manifestação de interesse do governo brasileiro, ocorreu em dezembro de 2019, com o apoio do então ministro da Justiça, Sérgio Moro. Em julho do ano passado, o presidente Jair Bolsonaro enviou o tratado para deliberação do Congresso, o que ainda não aconteceu.
“O ingresso nesse acordo de cooperação proporcionará às autoridades brasileiras acesso mais ágil a provas eletrônicas sob jurisdição estrangeira, além de mais efetiva cooperação jurídica internacional voltada à persecução penal dos crimes cibernéticos”, dizia nota conjunta dos ministérios da Justiça e das Relações Exteriores, de 2019.
A outra frente é a atualização das leis, uma demanda da própria Convenção de Budapeste. As tipificações de crimes precisam ser semelhantes em todos os países. O principal projeto é de autoria do deputado David Soares (DEM-SP), elaborado a partir de sugestões do MPF. A proposta é baseada nas sugestões apresentadas na discussão sobre o novo Código Penal, estacionada no Senado.
O texto alcança até mesmo os chamados ataques de negação de serviço (DDoS). Esse tipo de ataque foi o responsável por causar lentidão nos serviços do TSE no primeiro turno das eleições de 2020. Como mostrou o Estadão, o DDoS tem crescido de forma exponencial no Brasil e é facilmente contratado na “deep web” – camada da internet não acessível por buscadores e navegadores convencionais.
De acordo com o projeto, quem “interferir sem autorização” e causar interrupção ou perturbação grave na “funcionalidade ou na comunicação de sistema informatizado” comete crime punível com até cinco anos de prisão. A pena é aumentada em até dois terços se o crime for cometido contra a administração pública.
O projeto também torna mais abrangente o dispositivo inserido pela Lei Carolina Dieckmann. O texto atual exige, para sua caracterização, a invasão de dispositivos mediante violação de mecanismo de segurança com a finalidade de obter dados. Segundo especialistas em cibersegurança, nem sempre há “violação de segurança” nos ataques. Por isso, o texto passaria a considerar como crime “acessar indevidamente”, e ampliaria a pena para até cinco anos.
“O Brasil foi inserido junto à Convenção de Budapeste e isso faz com que nosso esforço precise ser mais assertivo nessa área. Qualquer que seja o vencedor da presidência da Casa, as comissões vão voltar. Não vão ter mais essas férias que tivemos em 2020. A partir do momento que voltar, vamos dar foco nisso”, afirmou o deputado David Soares.
Os crimes dos hackers
Art. 154-A do Código Penal (Lei Carolina Dieckmann) – O que diz: Considera crime “invadir dispositivo informático alheio” mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização. O projeto que resultou na lei ganhou este nome por ter como base um caso ocorrido com a atriz, que teve arquivos pessoais copiados de seu computador e divulgados na internet em 2012. Pena: detenção, de três meses a um ano, e multa.
Art. 296 do Código Eleitoral – O que diz: considera crime eleitoral ações que “promovem desordem que prejudique os trabalhos eleitorais”. Pena: detenção de até dois meses e pagamento de multa.
Art. 158 do Código Penal (Extorsão) – O que diz: É crime “constranger alguém, mediante violência ou grave ameaça”, a fazer ou tolerar algo com vistas à obtenção de vantagem. Pena: reclusão, de quatro a dez anos, e multa.
Art. 288 do Código Penal (Associação criminosa) – O que diz: associação de três ou mais pessoas para cometer crimes. Pena: reclusão, de um a três anos.
Lei 7.170/83 (Lei de Segurança Nacional) – O que diz: Define os crimes contra a segurança nacional, a ordem política e social do País. Um dos artigo cita “tentar impedir, com emprego de violência ou grave ameaça, o livre exercício de qualquer dos Poderes”. Pena: reclusão, de 2 a 6 anos.