Lei de crimes cibernéticos é aprovada com vitória para a comunidade de segurança da informação

Ontem foi aprovada, em sessão extraordinária da Câmara dos Deputados,  a lei que tipifica o crime de invadir computadores. Muito se tem debatido sobre essa lei, principalmente no que tange os efeitos dela para profissionais de segurança da informação pois, além de criminalizar a conduta de invadir, a lei criminalizaria também a conduta de criar ferramentas usadas para tanto. Militei exaustivamente contra essa criminalização de ferramentas usadas para quebrar segurança, visto que a quebra de segurança é uma das práticas comuns de quem trabalha no ramo. Além disso, criminalizar tais ferramentas seria o mesmo que criminalizar o chaveiro por conta da gazua, ou da chave mestra. Seria também um golpe fatal em nossa defesa nacional em tempos de ciberguerra. Os trabalhos de mobilização foram intensos (com muitos colegas em conjunto com a mesma iniciativa) e posso dizer com orgulho de nossa capacidade de mobilização e da postura democrática de nossos parlamentares que a lei foi aprovada com a mudança necessária para descriminalizar não apenas a questão das ferramentas, mas também qualquer prática de quebra de segurança que tenha fins legítimos, construtivos ou, como a lei define, lícitos.

Ontem, sob forte pressão e com muito dificuldade, um grupo de deputados consciente da necessidade de melhorar a lei conseguiu adicionar um emenda de redação que deixou clara a intenção do congresso de criminalizar apenas a conduta de quem invade computadores (ou cria ferramentas de ataque) “para obter vantagem ilícita”. Veja que é clara a intenção de poupar os profissionais de segurança, fruto de toda a nossa mobilização, o que pode se visto no parecer da Comissão de Constituição e Justiça (CCJ), proferido oralmente na sessão de ontem:

 E, nesse mesmo diapasão, restabelecendo a redação original da Câmara, em especial no que se relaciona ao art. 154, substituir o verbo “devassar”, que foi incluído pelo Senado, pelo verbo “invadir” e, mais do que isso, restabelecer aquele “especial fim de agir ou obter vantagem ilícita”, que a Câmara dos Deputados aprovou. E a explicação é simples: se nós não recuperarmos este “especial fim de agir ou obter vantagem ilícita”, qualquer técnico de segurança de informática poderá ser criminalmente punido, mesmo ele querendo, mesmo ele intencionando consertar, aperfeiçoar o sistema de segurança danificado.

Agora, é evidente que, restabelecendo a redação da Câmara no sentido de acrescentar o “especial fim de agir” consubstanciado na expressão “obter vantagem ilícita”, aí, sim, nós poderemos ter a segurança necessária para reprimir a conduta daquele que, com dolo, daquele que, com má-fé, daquele que, com especial propósito de causar dano a outrem, venha, através da invasão de dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorizaçãoo expressa ou tácita do titular do dispositivo, a instalar vulnerabilidades ou obter vantagem ilícita.

Nesse caso, nós estaremos transformando o tipo penal que veio do Senado como um crime de mera conduta em um crime material, isto é, um crime que se satisfaz com a configuração do especial fim criminoso de agir que é consistente na obtenção de vantagem ilícita.

Portanto, Sr. Presidente, na rejeição que se recomenda aos Deputados das Emendas 1, 4 e 5 do Senado, o que se propõe é o restabelecimento da redação original da Câmara que satisfaz ao princípio da reserva legal, não pune técnicos de segurança, de informática e concentra seu foco naqueles que querem de fato praticar dano a ouras pessoas.

E o parecer foi reforçado com o outro da Comissão de Segurança Pública e Combate ao Crime Organizado (CSPCCO):

Então, sobre as Emendas nos 2, 3 e 5, somos pela aprovação; sobre a Emenda no 4, pela rejeição. A Emenda no 1 nós vamos aprovar parcialmente, com as seguintes ressalvas: a palavra “devassar” será substituída por “invadir”. E ao final da redação, depois do termo “vulnerabilidade”, acrescentar “para obter vantagem ilícita”.

Dessa forma, a lei que irá para sanção presidencial terá o caput do artigo 154-A com a seguinte redação final:

Art. 154. Invadir dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades, para obter vantagem ilícita. ”  (negrito nosso)

A parte final (“para obter vantagem ilícita”) é uma excludente de ilicitude para testes de segurança ou pesquisa acadêmica. Asim, mesmo que todos os atos definidos sejam praticados, se não houver objetivo de “obter vantagem ilícita”, não haverá crimine. Isso, sem sombra de dúvidas, promove a segurança da informação e a defesa nacional, servindo de norte para juízes e demais operadores do direito ao se depararem com essa parte tão nova do direito brasileiro.

Essa vitória é de todo o povo brasileiro, mas parabenizo especialmente o Congresso Nacional na figura do Deputado Paulo Teixeira (PT-SP) que, além de autor do projeto de lei, foi o principal articulador das mudanças apresentadas através do diálogo, da construção de propostas alternativas e da mobilização política. Não podemos deixar de mencionar também o Deputado João Arruda (PMDB-PR), co-autor da lei e responsável por abrir inicialmente o canal de diálogo, a Deputada Manuela D’Ávila (PCdoB-RS), também co-autora do projeto, e o Deputado Ariosto Holanda (PSB-CE), grande parceiro da ciência e tecnologia nacionais.

Agora a missão é aprovar o Marco Civil da Internet da forma que quer o povo brasileiro, com neutralidade da rede e preservando a liberdade de expressão. Viva a democracia!

ATUALIZAÇÃO: Veja a explicação do Deputado Paulo Teixeira (PT-SP).

Esta entrada foi publicada em Security e marcada com a tag , , , . Adicione o link permanente aos seus favoritos.