Em maio deste ano, discutimos aqui no blog o Projeto de Lei 2793 de 2011 (PL2793/2011), conhecido como Lei de Crimes Cibernéticos. A discussão se pautou na ponderação a respeito de certas proibições trazidas pela lei que teriam impacto negativo na ciência e tecnologia nacionais. O objetivo deste artigo é continuar com a série de críticas, desta vez questionando a urgência que tem se dado à tramitação deste projeto.
Existe em tramitação no Senado Federal o projeto do Novo Código Penal que, dentre outras inovações, cuida também de crimes cibernéticos de forma que a matéria tratada pelo PL2793 tornar-se-ía obsoleta depois de aprovado o novo código. Contudo, mesmo diante de duras críticas feitas por alguns senadores pela incomum pressa dada a tramitação do PL e por este ter matéria conicidente com a reforma do código penal, a tramitação seguiu adiante. A grande justificativa para tanto é que o novo código penal demoraria muito para ser aprovado e que a sociedade precisa com urgência de uma lei de crimes cibernéticos, tendo como caso exemplar dessa necesidade, a violação da intimidade da atriz Carolina Dieckmann. Vamos entender melhor essa urgência.
Como todos sabem, o legislativo passou mais de uma década discutindo o “Projeto de Lei Azeredo” que versava, dentre outras coisas, sobre os crimes de informátca. Contudo, essa morosidade legislativa foi trocada, como num passe de mágica, pela pressa descabida, logo depois do início de um clamor midiático causadado pela publicação de fotos íntimas da atriz Carolina Dieckmann. Esse tema ganhou tanto destaque que até foi tratado aqui no blog e em vários outros lugares. A correlação entre o PL e o caso da atriz foi tão contundente que até chegou a ensejar o apelido “Lei Dieckmann”, que foi dado ao PL em tom humorístico. Ora, não me sinto à vontade com o fato de que uma única pessoa tenha tamanha influência sobre o Poder Legislativo de nosso país, mas se pelo menos a lei pudesse proteger as vítimas que, como a atriz, tiveram a sua intimidade violada no âmbito informático, já existiria algum ganho. Contudo, a pressa é realmente inimiga da perfeição, especialmente nesse caso.
Apesar de todos os esforços do legislativo para contemporizar com o clamor público obtido pela atriz e seu advogado, o PL2793, nova proposta de tipificação de crimes cibernéticos, sequer serviria para por na cadeia os malfeitores no caso de Carolina Dieckmann. É isso mesmo! Apesar de eu não ser jurista, fica evidente que a conduta realizada por estes indivíduos não se enquadra no novo tipo penal definido pelo PL. Não acredita? Vejamos o trecho do PL, já com as modificações trazidas pelo senado:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
Quem não lembra como se sucedeu o o caso, sugiro uma breve lida em meu artigo ‘A verdade sobre as “Técnicas de Invasão” usadas no caso Carolina Dieckmann’. Lá, descrevo que, na verdade, não houve sequer invasão nenhuma. O que realmente houve foi o envio de uma mensagem de email falsa para a atriz, alegando ser originada do provedor de internet dela. A mesagem pedia vários dados cadastrais de Carolina, inclusive a senha do correio eletrônico, sob o pretexto de melhrorar a segurança. Talvez por ingenuidade, Carolina informou todos os dados solicitados. Como a mensagem era falsa, a resposta de Carolina foi destinada ao malfeitor, que se valeu da senha da atriz para adentrar sua conta de email e copiar as fotos íntimas. Veja bem, Carolina cedeu, por vontade e consciência (ainda que mediante engodo), sua senha de email, que foi usada como deveria ser, para acessar as mensagens. Não houve servidor invadido, criptografia quebrada, tráfego interceptado, infecção por código malicioso ou nada desse tipo. Assim, não houve neste caso nenhuma “violação indevida de mecanismo de segurança” nem sequer “invasão de dispositivo informático alheio”. O atacante apenas utilizou a senha, dada por Carolina, como de praxe.
Para compreender melhor, o direito penal brasileiro se orienta pelo princípio da estrita legalidade, o que significa que, para definirmos algo como crime, não podemos sequer fazer analogia, sendo a letra da lei definidora da conduta criminosa. Ou seja, se não está expresso claramente na lei, não é crime. Assim, o que podemos concluir quando analisamos a conduta praticada contra Carolina frente ao tipo penal trazido pelo PL2793 é que, se dependesse apenas dele, não haveria crime nenhum nesse caso. Felizmente, a conduta em questão assemelha-se ao tipo penal de estelionato, o famoso “171” de nosso código penal, uma lei que já existe e é bem mais rigorosa que o PL de crimes cibernéticos. Veja:
Art. 171 – Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento:
Pena – reclusão, de um a cinco anos, e multa.
No caso Dieckmann, o atacante realizou o que conhecemos em segurança por phishing, que é a fraude eletrônica, geralmente feita por email, onde o fraudador se faz passar por alguma organização de conhecimento da vítima (banco, provedor, etc) com objetivo de obter indevidamente seus dados pessoais. Isso é a própria personificação do que está definido no tipo penal de estelionato já que o atacante: 1) usou de ardil (um email fraudulento) para manter em erro (Carolina pensava tratar-se do provedor) com vantagem ilícita (obtenção de dados pessoais) em prejuízo alheio (intimidade violada). Haveria ainda uma discussão de que a vantagem ilícita deveria ser de cunho patrimonial e a mera violação moral não seria suficiente para configurar o tipo, mas isso já é outra estória. A questão aqui é apenas uma: a nova lei trazida pelo PL de crimes cibernéticos não puniria ninguém no caso da Carolina Dieckmann.
Tudo isso nos leva a questionar se, de fato, o PL2793/11 merece tanta urgência assim. Principalmente porque essa urgência tem sido usada como pretexto para não envolver ativamente nas discussões do projeto, os setores da sociedade interessados, como, por exemplo, os profissionais da segurança da informação, da forma democrática que outros projetos exemplarmente fizeram (vide o Marco Civil da Internet). Qual a desculpa agora?