Lei de crimes cibernéticos é aprovada com vitória para a comunidade de segurança da informação

Ontem foi aprovada, em sessão extraordinária da Câmara dos Deputados,  a lei que tipifica o crime de invadir computadores. Muito se tem debatido sobre essa lei, principalmente no que tange os efeitos dela para profissionais de segurança da informação pois, além de criminalizar a conduta de invadir, a lei criminalizaria também a conduta de criar ferramentas usadas para tanto. Militei exaustivamente contra essa criminalização de ferramentas usadas para quebrar segurança, visto que a quebra de segurança é uma das práticas comuns de quem trabalha no ramo. Além disso, criminalizar tais ferramentas seria o mesmo que criminalizar o chaveiro por conta da gazua, ou da chave mestra. Seria também um golpe fatal em nossa defesa nacional em tempos de ciberguerra. Os trabalhos de mobilização foram intensos (com muitos colegas em conjunto com a mesma iniciativa) e posso dizer com orgulho de nossa capacidade de mobilização e da postura democrática de nossos parlamentares que a lei foi aprovada com a mudança necessária para descriminalizar não apenas a questão das ferramentas, mas também qualquer prática de quebra de segurança que tenha fins legítimos, construtivos ou, como a lei define, lícitos.

Ontem, sob forte pressão e com muito dificuldade, um grupo de deputados consciente da necessidade de melhorar a lei conseguiu adicionar um emenda de redação que deixou clara a intenção do congresso de criminalizar apenas a conduta de quem invade computadores (ou cria ferramentas de ataque) “para obter vantagem ilícita”. Veja que é clara a intenção de poupar os profissionais de segurança, fruto de toda a nossa mobilização, o que pode se visto no parecer da Comissão de Constituição e Justiça (CCJ), proferido oralmente na sessão de ontem:

 E, nesse mesmo diapasão, restabelecendo a redação original da Câmara, em especial no que se relaciona ao art. 154, substituir o verbo “devassar”, que foi incluído pelo Senado, pelo verbo “invadir” e, mais do que isso, restabelecer aquele “especial fim de agir ou obter vantagem ilícita”, que a Câmara dos Deputados aprovou. E a explicação é simples: se nós não recuperarmos este “especial fim de agir ou obter vantagem ilícita”, qualquer técnico de segurança de informática poderá ser criminalmente punido, mesmo ele querendo, mesmo ele intencionando consertar, aperfeiçoar o sistema de segurança danificado.

Agora, é evidente que, restabelecendo a redação da Câmara no sentido de acrescentar o “especial fim de agir” consubstanciado na expressão “obter vantagem ilícita”, aí, sim, nós poderemos ter a segurança necessária para reprimir a conduta daquele que, com dolo, daquele que, com má-fé, daquele que, com especial propósito de causar dano a outrem, venha, através da invasão de dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorizaçãoo expressa ou tácita do titular do dispositivo, a instalar vulnerabilidades ou obter vantagem ilícita.

Nesse caso, nós estaremos transformando o tipo penal que veio do Senado como um crime de mera conduta em um crime material, isto é, um crime que se satisfaz com a configuração do especial fim criminoso de agir que é consistente na obtenção de vantagem ilícita.

Portanto, Sr. Presidente, na rejeição que se recomenda aos Deputados das Emendas 1, 4 e 5 do Senado, o que se propõe é o restabelecimento da redação original da Câmara que satisfaz ao princípio da reserva legal, não pune técnicos de segurança, de informática e concentra seu foco naqueles que querem de fato praticar dano a ouras pessoas.

E o parecer foi reforçado com o outro da Comissão de Segurança Pública e Combate ao Crime Organizado (CSPCCO):

Então, sobre as Emendas nos 2, 3 e 5, somos pela aprovação; sobre a Emenda no 4, pela rejeição. A Emenda no 1 nós vamos aprovar parcialmente, com as seguintes ressalvas: a palavra “devassar” será substituída por “invadir”. E ao final da redação, depois do termo “vulnerabilidade”, acrescentar “para obter vantagem ilícita”.

Dessa forma, a lei que irá para sanção presidencial terá o caput do artigo 154-A com a seguinte redação final:

Art. 154. Invadir dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades, para obter vantagem ilícita. ”  (negrito nosso)

A parte final (“para obter vantagem ilícita”) é uma excludente de ilicitude para testes de segurança ou pesquisa acadêmica. Asim, mesmo que todos os atos definidos sejam praticados, se não houver objetivo de “obter vantagem ilícita”, não haverá crimine. Isso, sem sombra de dúvidas, promove a segurança da informação e a defesa nacional, servindo de norte para juízes e demais operadores do direito ao se depararem com essa parte tão nova do direito brasileiro.

Essa vitória é de todo o povo brasileiro, mas parabenizo especialmente o Congresso Nacional na figura do Deputado Paulo Teixeira (PT-SP) que, além de autor do projeto de lei, foi o principal articulador das mudanças apresentadas através do diálogo, da construção de propostas alternativas e da mobilização política. Não podemos deixar de mencionar também o Deputado João Arruda (PMDB-PR), co-autor da lei e responsável por abrir inicialmente o canal de diálogo, a Deputada Manuela D’Ávila (PCdoB-RS), também co-autora do projeto, e o Deputado Ariosto Holanda (PSB-CE), grande parceiro da ciência e tecnologia nacionais.

Agora a missão é aprovar o Marco Civil da Internet da forma que quer o povo brasileiro, com neutralidade da rede e preservando a liberdade de expressão. Viva a democracia!

ATUALIZAÇÃO: Veja a explicação do Deputado Paulo Teixeira (PT-SP).

Esta entrada foi publicada em Security e marcada com a tag , , , . Adicione o link permanente aos seus favoritos.

5 respostas para Lei de crimes cibernéticos é aprovada com vitória para a comunidade de segurança da informação

  1. Alberto Fabiano disse:

    Na terra da “teoria do domínio do fato” e sendo este “um dos países” das injustiças; espero profundamente que o trabalho dos pesquisadores, desenvolvedores e especialistas desejam apenas fazer seus trabalhos e visam “o bem comum” não sejam penalizadas por ação com interpretações distorcidas.

    • pablo
      disse:

      Oi Alberto, seja bem vindo!

      É verdade, você tem toda razão. Em nossos tempos o direito se transformou em uma falácia lógica. Tudo fica valendo. Mas é ingenuidade acreditar que qualquer redação deste dispositivo estaria livre desse fenômeno. Mesmo a proposta que defendi, que adicionava o §6o, sofreria com a questão, veja:

      §6o Não constitui crime a prática do ato mencionado no parágrafo primeiro quando a produção, oferecimento, distribuição, venda ou difusão de dispositivo ou programa de computador tiver finalidades acadêmicas, ocorrer no contexto de testes de segurança ou for praticada com o objetivo de permitir a adequada e legítima proteção de sistemas computacionais.

      Veja que qualquer juíz poderia interpretar do jeito que quisesse o que é objetivo acadêmico, teste de segurança e proteção de sistema computacional. Podeira dizer por exemplo que discorda do princípio da “offesive security” e que isso é “molecagem”, não merecendo ser equiparado à exceção.

      Quer saber mais? A proposta que tentei articular inicialmente era remover completamente o §1o, que falava das ferramentas. Mesmo assim, um juíz mal intencionado poderia dizer que quem escreveu as ferramentas ou as disponibiizou é cúmplice e portanto incorre em co-autoria. Pior, haveria aí a até, possivelmente, a formação de quadrilha.

      Então veja, temos que esquecer essa idéia de que a letra da lei é tábua de salvação ou sentença de morte. Ela não é nenhum dos dois. A nossa luta continua, mas agora temos armas, temos uma excludente clara de ilicitude indicada pelo próprio congresso com o intuito claro de nos proteger da forma expressa nos pareceres.

  2. Anchises disse:

    Pablo,
    Eu gostaria muito de compartilhar o seu otimismo, mas eu acredito que esta lei continua danosa a pesquisa em segurança. Minha preocupação se deve principalmente ao fato de que o atenuante “para obter vantagem ilícita” se refere ao caput do artigo 154-A, e não ao seu parágrafo primeiro.
    Ou seja, o artigo 154-A de fato pune o cyber criminoso que invade algum computador. Mas, se este cyber criminoso usar uma ferramenta de terceiros, o parágrafo primeiro (que criminaliza “quem produz, oferece, distribui, vende ou difunde” uma ferramenta de segurança) irá punir o desenvolvedor da ferramenta e o site ou pessoa de onde o cyber criminoso obteu a ferramenta.
    Exemplificando: se eu invadir a rede de uma empresa para roubar os dados desta empresa, e para isso usar o metasploit e, suponha, uma segunda ferramenta desenvolvida por você na Universidade Estadual do Ceará, que eu abaixei do site do INSERT, o juiz irá punir o responsável pela invasão (eu, que invadi a empresa para obter uma vantagem ilícita – roubar suas informações). Em seguida, uma vez que meu crime esteja esclarecido e minha punição definida, o juiz pode se empolgar e punir o HD Moore (por ter ajudado a desenvolver o Metasploit), você (por ter desenvolvido a segunda ferramenta de invasão ou roubo de dados que utilizei) e ainda o seu grupo INSERT, por disponibilizar a ferramenta para download no site. Se vocês tiverem uma área de download com um simples software sniffer disponível, e o perito provar que eu usei um sniffer abaixado do seu site no meu ato criminoso, você poderá ser punido também.
    Ou seja, com essa lei do jeito que está, o desenvolvedor de ferramentas de segurança ou o site que disponibiliza download podem ser punidos – e esse tipo de risco pode, eventualmente, fazer retrair o mercado nacional, pois pesquisadores terão receio de pesquisar e sites deixarão de disponibilizar ferramentas.
    Sabemos que as ferramentas de segurança (ou de redes, de servidores, etc) podem ser usadas para o bem ou para o mal, dependendo de quem usa, e não de quem as desenvolveu.

    • pablo
      disse:

      Oi Anchises,

      Primeiro, obrigado pela visita. Vou pegar o gancho de seu comentário:

      Minha preocupação se deve principalmente ao fato de que o atenuante “para obter vantagem ilícita” se refere ao caput do artigo 154-A, e não ao seu parágrafo primeiro.
      Ou seja, o artigo 154-A de fato pune o cyber criminoso que invade algum computador. Mas, se este cyber criminoso usar uma ferramenta de terceiros, o parágrafo primeiro (que criminaliza “quem produz, oferece, distribui, vende ou difunde” uma ferramenta de segurança) irá punir o desenvolvedor da ferramenta e o site ou pessoa de onde o cyber criminoso obteu a ferramenta.

      Vamos ver o parágrafo primeiro:

      §1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

      Eu reli muito esse dispositivo, discutindo com muita gente, muitos especialistas. Aprendi sobre ele e notei suas nuances.

      Note que “intuito” é expresso como condicionante do tipo. Ou seja, deverá existir o intuito de permitir o que define o caput. E o que define o caput? A prática da invasão com o objetivo expresso de obter vantagem ilícita.
      Deixe-me começar com uma metáfora de carro. Quando uma montadora fabrica um carro seu intuito é o de permitir o transporte de pssageiros, permitir que alguém o dirija. Quando alguém atropela alguém causando morte, o carro foi usado com intuito diverso.

      Quando o caput estava escrito da forma original que saiu do senado, ou seja, sem a expressão “para obter vantagem ilícita”, o ato de invadir apenas, sem nenhuma consideração sobre sua finalidade, era a conduta definida no caput. Ora, nesse cenário original, qualquer um que fizesse ferramenta de invasão incorreria no §1o, pois o intuito seria fazer uma ferramenta usada pra invadir e a conduta do caput é invadir e ponto. Quando adicionamos a excludente de ilicitude “para obter vantagem ilícita”, o que foi feito foi remeter o §1o ao caso de ferramentas feitas especificamente com o intuito de colaborar com a invasão para obter vantagem ilícita, e não qualquer invasão. O indivíduo que cria um weaponized exploit sob encomenda, sabendo que quem compra o usará para fins ilícitos incorreria no §1o. Na verdade, isso pode acabar representando um problema de forma inversa pois alguém, mesmo mal intencionado, poderia alegar a excludente dizendo que não tinha intenção de obter vantagem ilícita. Nesse caso teria que ser provado que houve de fato a intenção ilícita, de forma inequívoca. Teria que ser demonstrado, por exemplo, que o indivíduo auferiu ganho financeiro com o fato ou coisa similar. Veja, não estou dizendo aqui que muitos policiais, juízes, advogados não vão cometer gafes na interpretação da lei. Hoje, sem nem existir lei pra certas condutas e mesmo com o principio da legalidade, muitos juízes já tentam enfiar pela goela certos tipos penais os imputando a condutas sem correspondência, como no próprio caso da Dieckmann, onde se ouviu até que os caras seriam processados por furto, como se dado fosse coisa.

      Contudo, essas interpretações não se sustentam frente a doutrina. E outra coisa, a doutrina nesse campo ainda está pra ser escrita. Quanto mais divulgamos a visão correta da lei, mas os doutrinadores a verão de forma adequada e a interpretação que o congresso quis dar, a interpretação que nós profissionais da segurança achamos a mais justa, prevalecerá.

      Estou preparando um artigo puxando um pouco pro direito, onde comento não só sobre a questão das ferramentas como sobre o DoS. Assim que sair do forno eu aviso.

  3. Pingback: Lei de crimes cibernéticos é aprovada com vitória para a comunidade de segurança da informação | Hacker na Mídia

Deixe uma resposta para pablo Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *