Lei "Carolina Dieckmann" começa a valer em 02/04/2013

A lei 12.737 de 30/11/2012, que ficou popularmente conhecida como Lei Carolina Dieckmann, tipifica os crimes de delitos informáticos, tem sua aplicabilidade iniciada em 02/04/2013, após 120 dias de vacatio legis, trazendo aos usuários novidades penais significantes e que devem ser analisados no âmbito técnico-jurídico em detalhes.

Dentre as alterações, temos a inserção do Artigo 154-A no Código Penal. O referido artigo tipifica a invasão de dispositivo informático, que entendemos serem quaisquer tipos de equipamentos como computadores, tablets, smartphones, console de videogame, etc. Mas é necessário ressaltar que a invasão não é no sentido físico tão somente, de violar um equipamento retirando partes, e sim acessar sem autorização logicamente as informações contidas em tais equipamentos, independente de sua conexão a uma rede.

Outro ponto que merece ser destacado é uma condicionante inserida no referido artigo. A invasão é mediante violação de mecanismo de segurança. Estes mecanismos devem ser entendidos como quaisquer meios (físicos ou lógicos) utilizados para evitar a conduta prevista no texto, qual seja a invasão. Podemos pensar em exemplos de mecanismos físicos como roteadores e switchs. Certamente eles têm interação com software, mas é possível intervenção em seus circuitos para permitir acesso a dados. Os mecanismos lógicos (imateriais) são mais conhecidos: firewalls, o sistema operacional e suas senhas entre outros.

Dada a condição de violar um mecanismo de segurança, depreende-se que para que seja considerada conduta típica, deverá a pessoa provar que teve seu dispositivo invadido mas que este era provido de de mecanismos de segurança. Neste caso, temos que a partir deste momento mais ainda nos preocuparmos com a segurança dos equipamentos, no mínimo protegê-los com senha.

Em continuidade a leitura do artigo, verifica-se que há a necessidade de objetivo específico. Isto porque aquele que invade deve ter o fim de obter, adulterar ou destruir dados ou informações. Apesar de filtrar a conduta inserindo o dolo, tal fato traz à baila a necessidade daquele que alegar ter sido invadido, demonstrar a intenção do invasor. E tratando-se de métodos atuais dos controles como logs, com todo respeito, vemos problemas.

Certamente, será deveras dificultoso baseado nos formatos de logs utilizados nos sistemas, comprovar a conduta delituosa de um invasor. Será preciso mais do que isto, pois o artigo trata da conduta simples de invadir, mas com intenção clara de obter. A questão é como comprovar a vontade do invasor. Em linhas gerais, os usuários deverão continuar se precavendo mantendo seus computadores com sistemas de segurança adequados como sistema atualizado de antivírus, sistema de firewall e, mais do que isto, uma conduta mais atenta nas redes sociais que hoje tem um grande índice de proliferação de malwares.

Com relação às penas previstas para o crime de invasão, estas foram dividas e vão desde 3 (três) meses a 2 (dois) anos e multa, com aumentos de 1/6 a 2/3 com as agravantes. No crime puro (simples), a pena é de 3(três) meses a 1(um) ano, com aumento de 1/6 a 1/3 quando a conduta resultar um prejuízo econômico. São penas brandas a nosso ver mesmo com os aumentos, sendo tratadas como menor potencial ofensivo, sem real efetividade na prática.
Menos efetividade se vislumbra nos casos tratados como graves. Quando a invasão tiver como resultado a efetiva subtração dos dados ou o controle remoto do dispositivo (malwares do tipo bots), a pena será de 6 (seis) meses a 2(dois) anos e multa, com aumentos de 1/3 a 2/3 se houver a transmissão/comercialização das informações. E aumentos de 1/3 a 1/2 quando cometido contra governantes destacados no artigo.

Conclui-se que, o agente invade um dispositivo com intenção de obter informações, como por exemplo, um segredo industrial de algum projeto de alta complexidade, com valor financeiro elevado e, se condenado nos termos do artigo inserido, terá pena ínfima ante ao prejuízo causado.