Os crimes cibernéticos no Brasil à luz da Convenção de Budapeste

A criminalidade informática ou cibernética não é um fenômeno novo. O contexto da sociedade da informação e o avanço de tecnologias de informação e comunicação (TICs) vêm ampliando as diferentes maneiras de cometimento de crimes, desde invasão de dispositivos a fraudes eletrônicas.

Há uma imensidão de possibilidades quando falamos em “crimes informáticos”. Tirando o fato de serem cometidos através de tecnologias informáticas, pouco há que os una como uma disciplina formada por princípios coerentes entre si. Uma definição sintética de cibercrime pode ser assim colocada: “aquele tipo de crime cujos sistemas informáticos podem servir de instrumento para a perpetração de crimes, ou cujos instrumentos informáticos são alvo desses mesmos ataques”. [1]

No plano internacional, foi assinada em 2001 a Convenção sobre o Crime Cibernético, também chamada Convenção de Budapeste, documento que traz uma série de diretrizes para o tratamento deste tipo de criminalidade, e que fornece um marco inicial de estudo.

A Convenção de Budapeste e o Decreto nº 11.491/23

Em 12 de abril de 2023, foi publicado o Decreto nº 11.491/23, que disciplina a Convenção de Budapeste. A convenção foi aprovada pelo Conselho da Europa em 23 de novembro de 2001, 22 anos antes da promulgação do decreto brasileiro.

Como é padrão deste tipo de diploma vê-se longo rol de disposições de matéria penal, inclusive um extenso rol de mandados de criminalização. Com efeito, a Convenção reserva pelo menos nove dispositivos a esses mandamentos (artigos 2 a 10, todos da Seção 1).

Outros países, como Portugal, já legislaram há muito a respeito do cibercrime. A lei lusitana (nº 109/2009), [2] por exemplo, conta com vasta aplicação jurisprudencial e de doutrina, tanto em âmbito material [3] quanto processual. [4]

No Brasil, embora não haja uma lei específica a disciplinar o tema, há uma série de disposições esparsas ao longo do Código Penal. Não se objetiva comparar as disposições da Convenção e do ordenamento jurídico pátrio, o que exigiria longo espaço de exposição. [5]

Primeiras impressões sobre a Convenção

Em seu artigo primeiro, como é de praxe em documentos semelhantes, há uma “terminologia”. Somos apresentados aos conceitos de “sistema de computador”, “dado de computador”, “provedor de serviços” e “dados de tráfego”. Depois, os crimes previstos se dividem em quatro títulos.

O primeiro, dos crimes contra a confidencialidade, integridade e disponibilidade de dados em sistemas de computador (que, a rigor, protegem o bem jurídico intimidade), que são: acesso ilegal (artigo 2); interceptação ilícita (artigo 3); violação de dados (artigo 4); interferência em sistema (artigo 5); uso indevido de aparelhagem (artigo 6).

O segundo, que prevê os crimes informáticos propriamente ditos, parece tutelar bens jurídicos patrimoniais e de fé pública/falso, prevendo os seguintes delitos: falsificação informática (artigo 7) e fraude informática (artigo 8).

O terceiro prevê os crimes relacionados ao conteúdo da informação, onde consta o delito de pornografia infantil (artigo 9); e, por fim, o quarto prevê a conduta de violação de direitos autorais e direitos correlatos (artigo 10).

No caso dos primeiros, há quem defenda, por exemplo, que o crime de interferência em sistema seja assemelhado ao delito de sabotagem. [6] No Código Penal brasileiro, a sabotagem consta do artigo 359-R, mas talvez a conduta em questão esteja melhor abrigada nos artigos 154-A e 313-A, ou no artigo 2º, § 1º, inciso IV da Lei nº 13.260/16.

No caso dos crimes informáticos, a falsificação informática (artigo 7º, Convenção) assemelha-se à nossa falsidade ideológica (artigo 299, CP) e a fraude informática (artigo 8º, Convenção) ao nosso estelionato, que conta com figura autônoma de fraude eletrônica (artigo 171, § 2º-A, CP).

De resto, destacam-se três características essenciais a todos os tipos penais mandados pela Convenção de Budapeste. São elas:

1. que o agente aja “sem autorização”;
2. que o agente aja dolosamente;
3. a presença de alguns dos seguintes elementos, senão todos: inserção, deleção, dano ou alteração de dados informáticos. [7]

Além disso, no que tange ao bem jurídico-penal tutelado, considerando que são crimes pluriofensivos, pode-se atingir, por exemplo, a privacidade em crimes de captação clandestina de comunicação, a privacidade e/ou a intimidade em crimes de invasão de dispositivo informático, o patrimônio no caso de fraudes eletrônicas etc. Contudo, considerando o caráter cibernético desses delitos, há outros bens a serem considerados, e que são expostos no relatório explicativo da Convenção (que assemelha-se a uma exposição de motivos). [8]

No caso do crime de violação de dados (artigo 4), por exemplo, consta que “o objetivo desta previsão é de prover aos dados e programas de computador proteção similar à de objetos corpóreos contra danos”, sendo o bem jurídico-penal tutelado a “integridade e o correto funcionamento ou uso de dados informáticos armazenados ou programas computacionais” (item 60).

Outro exemplo, mais concreto, vem de Portugal, a respeito da falsidade informática prevista no artigo 3º da Lei do Cibercrime. Alguns entendem, acertadamente, que a tutela recai sobrea segurança e a fiabilidade dos documentos no tráfico jurídico-probatório (no que se inclui a segurança nas transações bancárias), bem como a integridade dos sistemas informáticos. [9]

No Brasil, para citar o caso mais notório, que é o delito de invasão de dispositivo informático (artigo 154-A, CP, inserido pela Lei nº 12.737/ 12 — Lei Carolina Dieckmann), a doutrina entende que se trata, no essencial, de uma tutela penal da privacidade. [10]

Sendo assim, na pluriofensividade que caracteriza esses crimes, haverá, além da proteção tradicional que se encontra no direito penal, um elemento aditivo referente à informática, os quais estão dispostos no relatório informativo da Convenção.

Já a responsabilidade penal da pessoa jurídica foi prevista ao artigo 12 da Convenção. Esse dispositivo manda que cada Estado-parte tome as providências necessárias para “assegurar que pessoas jurídicas possam ser consideradas penalmente responsáveis por crimes tipificados de acordo com esta Convenção”. No Brasil, só existe, por ora, a responsabilidade penal da PJ em casos de crimes ambientais, em que houve expressa determinação constitucional (artigo 225, § 3º). No entanto, isso não significa que não possa haver semelhante disposição para outras modalidades de crime — basta que assim queira o legislador penal.

Por fim, o artigo 13 da legislação prevê algumas disposições sobre as sanções a serem aplicadas, ordenando que os crimes tipificados sejam punidos por privação de liberdade. No âmbito da lei brasileira, não parece haver maiores dificuldades, pois falamos de penas privativas de liberdade (reclusão e detenção), sem prejuízo de que as penas ser substituídas por penas restritivas de direito, conforme artigo 44 e seguintes do Código Penal. Também não há vedação à pena de multa cumulada com a privação de liberdade.

A criminalização de atos preparatórios

A Convenção de Budapeste manda criminalizar atos preparatórios em algumas situações. É o caso do “uso indevido de aparelhagem” — artigo 6. Por exemplo, lê-se, na alínea b, que é crime “a posse de qualquer dos instrumentos referidos nos parágrafos a.i ou ii, com a intenção de usá-los para a prática de quaisquer dos crimes previstos nos artigos de 2 a 5”.

Em Portugal, o legislador foi mais explícito. Depois da previsão do delito de “contrafação de cartões ou outros dispositivos de pagamento” (artigo 3.º-A), o artigo 3.º-D dispõe da criminalização dos “atos preparatórios da contrafação” nos ulteriores termos: “Quem produzir, adquirir, importar, distribuir, vender ou detiver qualquer cartão, dispositivo, programa ou outros dados informáticos, ou quaisquer outros instrumentos, informáticos ou não, destinados à prática das ações descritas no artigo 3.º-A, é punido com pena de prisão de 1 a 5 anos”.

No Brasil, considerando que não há uma semelhante lei geral de cibercrimes, não há, igualmente, um dispositivo geral que permita a punição dos atos preparatórios. Da mesma forma, dos crimes esparsos que encontramos em nosso ordenamento, não é regra uma semelhante punibilidade dos atos preparatórios, salvo uma exceção relevante: o § 1º do artigo 154-A, do Código Penal, que criminaliza a conduta de oferecer, distribuir, vender ou difundir dispositivo ou programa de computador com o intuito de praticar esse ilícito.[11]

Essa lacuna legal merece aplauso. A punibilidade dos atos preparatórios deve ser excepcionalíssima, somente excetuando-se casos de extrema gravidade — e, mesmo assim, não é pacífica a sua legitimidade, mas não nos ocuparemos desta questão.

Quais são os próximos passos?

Considerando o implemento definitivo da Convenção de Budapeste em nosso ordenamento jurídico via decreto, o legislador penal brasileiro precisa tomar algumas decisões.

A primeira seria promulgar uma lei, à moda portuguesa, para, sozinha, prever todos os tipos penais relevantes para uma lei de cibercrime. Isso significaria a necessidade de revogar os dispositivos hoje existentes (v.g. artigo 154-A, CP; artigo 171, § 2º-A, CP etc.).

A segunda seria a de manter os tipos penais de delitos cibernéticos exatamente onde estão, com eventuais acréscimos, a serem acrescidos ou retificados conforme eventual necessidade de sistematização.

De toda a sorte, e ressalvando as particularidades dos textos, pensamos que é possível “espelhar” as disposições da Convenção com o nosso ordenamento jurídico nos ulteriores termos:

Considerando o balanço apresentado acima, parece uma melhor solução manter as coisas como estão. Os dispositivos do Código Penal e das legislações extravagantes que tratam sobre crimes informáticos foram, no geral, alterados ou acrescentados por leis esparsas, amiúde insufladas por problemas pontuais vivenciadas em nossa sociedade — não há melhor exemplo do que a Lei Carolina Dieckmann.

Evidentemente, há aqui um pecado pela falta de sistematicidade desses dispositivos. No entanto, uma lei geral teria que, a um só tempo: revogar todos os dispositivos citados acima, e reorganizá-los, em uma nova lei (fosse ela extravagante, fosse alterando o nosso Código Penal). Isso sem contar em um risco de uma indesejada ampliação da tutela penal, como uma (também indesejada) previsão de punição de atos preparatórios.

Assim sendo, os riscos de essa nova atividade legislativa deixar alguma figura de lado, ou de aumentar desproporcionalmente as penas, seriam inúmeros. Além do mais, a principal dentre as omissões que temos hoje em relação à Convenção de Budapeste é positiva: não há criminalização de atos preparatórios — que, em regra, devem ser impuníveis.

[1] FREITAS, José Pedro Coutinho Barreiros de. Os meios de obtenção de prova digital na investigação criminal: o regime jurídico dos serviços de correio eletrónico e de mensagens curtas. Dissertação (Mestrado em Direito e Informática). Escola de Direito da Universidade do Minho, Out. 2017, p. 26. Ademais, no Brasil, consultar: COLLI, Maciel. Cibercrimes: Limites e Perspectivas à Investigação Policial de Cibercrimes. Curtiba: Juruá, 2010.

[2] Antes desta lei entrar em vigor, havia outra lei do Cibercrime: Lei nº 109/91.

[3] VENÂNCIO, Pedro Dias. Lei do cibercrime: anotada e comentada. Atualizada pela Lei n.ª 79/2021, de 24 de novembro. Coimbra: Editora D’ideias, 2023.

[4] V. FIDALGO, Sónia. A apreensão de correio electrónico e a utilização noutro processo das mensagens apreendidas. Revista Portuguesa de Ciência Criminal, a. 29, n. 1, pp. 59-74, jan.-abr. 2019.

[5] Veja-se o trabalho de Riquert, que compara os mandados da Convenção de Budapeste com as legislações da América do Sul: RIQUERT, Marcelo A. Repensando como funciona la ley penal em el ciberespacio. In: RIQUERT, Marcelo A. (Coord). Ciberdelitos. Buenos Aires: Hammurabi, 2014.

[6] Cfr. VENÂNCIO, Pedro Dias. Similarity and competition between Cybercrimes related to computer data in the council of Europe’s Convention on Cybercrime. Masaryk University Journal of Law and Technology, v. 7:1, pp. 97-105, 201, p. 99.

[7] Essas características são apontadas por Venâncio, Similarity and competition between Cybercrimes… p. 100 e ss.

[8] Disponível aqui.

[9] NUNES, Duarte Alberto Rodrigues. O crime de falsidade informática. Julgar online, pp. 1-53, out. 2017.

[10] REALE JÚNIOR, Miguel. Artigo 154-A. In: REALE JÚNIOR, Miguel (Coord.). Código Penal Comentado. 2. Ed. São Paulo: SaraivaJur, 2023.

[11] “§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput”.