Bolsonaro sanciona lei com penas mais duras para crimes pela internet

O presidente Jair Bolsonaro sancionou nesta sexta-feira, 28, lei que torna mais rigorosas as punições para crimes cometidos no âmbito da internet. A pena para invasão de dispositivos ou hackeamento de aparelhos, por exemplo, foi aumentada de um para quatro anos de prisão. Nos últimos meses, sistemas de instituições importantes, como o Supremo Tribunal Federal (STF) e o Superior Tribunal de Justiça (STJ), foram alvo de ataques cibernéticos.

A lei que entrou em vigor nesta sexta aumenta penas para crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet. No caso mais recente de ataque às instituições, em 6 de maio, o presidente do STF, Luiz Fux, suspendeu a contagem dos prazos processuais e o de vigência das sessões virtuais do plenário e das turmas que tiveram início no dia 30 de abril. As apurações indicaram que o acesso não teve o intuito de "sequestro de ambiente" – como ocorreu em episódios envolvendo o Superior Tribunal de Justiça e o Tribunal de Justiça do Rio de Janeiro –, mas, sim, de obtenção de dados.

Em novembro do ano passado, um ataque hacker afetou o sistema do STJ, impedindo que 2.500 decisões monocráticas fossem concluídas e publicadas. Os ministros e assessores da Corte ficaram impedidos até mesmo de utilizar seus e-mails e fazer qualquer movimentação nos processos até segunda ordem. O ataque foi verificado em uma tarde, enquanto ocorriam as sessões de julgamento dos colegiados das seis turmas do STJ. Em razão da tentativa de invasão à rede de tecnologia da informação, o tribunal suspendeu os prazos processuais à época.

O texto sancionado nesta sexta por Bolsonaro altera ainda o Código de Processo Penal para definir a competência em modalidades de estelionato, que passa a ser o domicílio da vítima. Especialista em privacidade digital, Sofia Marshallowitz, bacharel em Direito pela Universidade Presbiteriana Mackenzie e MBA em Segurança Digital pela USP, afirmou que esse trecho da nova lei pode ser de difícil aplicação. Sofia observou que o autor do crime pode decidir usar como alvo pessoas em países cujas jurisdições não tenham punições para crimes cibernéticos.

"Sendo um atacante brasileiro atingindo alguém de fora, podemos cair numa impunidade, como já era anteriormente à modificação da lei. Depende de um acordo de cooperação mútua brasileira com o país do ataque e de uma denúncia recebida pelo Brasil", afirmou Sofia. "O atacante poderá ser julgado e ter uma sentença que nem o atinja de fato aqui no Brasil, já que não há vislumbre de deportação. E às vezes nem há uma lei consolidada sobre o tema no país onde o ataque ocorreu ou não há esse acordo de cooperação mútua".

Acordo

No caso do criminoso ser um estrangeiro, vai ser difícil aplicar a lei brasileira sobre outros países. "Sendo a vítima um brasileiro e o atacante um estrangeiro, a questão do acordo de cooperação mútua volta a ser tema central. Se o país do atacante não quiser colaborar, nada irá ocorrer e pode restar um cenário de impunidade", disse a especialista.

Apesar das críticas, Sofia observou que a nova lei é positiva nos casos em que o criminoso e a vítima são brasileiros. "É uma medida interessante, já que a vítima poderá realizar todo o processo de seu domicílio, ainda que desconheça o local de consumação do estelionato digital, pacificando assim qualquer dúvida sobre competência do caso", argumentou.

Especialista em Crimes Eletrônicos e Crimes Econômicos, sócia de Viseu Advogados, Carla Rahal Benedetti também afirmou que é preciso firmar cooperações internacionais nesses casos. "Precisamos avançar nessa legislação. Há possibilidade da punição acerca dos crimes cibernéticos. É claro que isso vai ter que estar intimamente ligado a tratados, convenções e regras de direito internacional, bem como a questão de ser o agente que pratica o crime, cidadão brasileiro", disse Carla. "Se ele for brasileiro, o Brasil de qualquer maneira, pode sim, punir. Se ele estiver fora do Brasil, entra na questão de extradição".

A justificativa do projeto foi o aumento significativo dos casos de fraudes eletrônicas durante a pandemia do coronavírus. "A sanção presidencial visa tornar a legislação mais rigorosa, a fim de proteger os consumidores e as instituições contra os ilícitos cibernéticos, tendo em vista o quantitativo relevante de prejuízos causados por este tipo de atos criminosos", afirmou a Secretaria-Geral da Presidência.

Depois de sofrerem com a queda nas receitas, as empresas privadas também começam a enfrentar o novo problema causado pela pandemia. Em alguns casos, as invasões pararam operações inteiras. A Honda, por exemplo, interrompeu a produção durante três dias em junho de 2020, por causa de invasões em seus sistemas. A Rumo Logística, Raízen e Energisa haviam reportado ataques cibernéticos um pouco antes, nos meses de março e abril do ano passado.

A nova lei determina que, no crime de invasão de dispositivo informático, previsto no Código Penal, a pena será de reclusão – podendo ser em regime fechado – de um a quatro anos e multa, punição que pode ser aumentada de um terço a dois terços se da invasão resultar prejuízo econômico. A pena anterior era de detenção, em regime aberto ou semiaberto, de três meses a um ano, e multa.

Se o invasor tomar posse de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, ou controlar remotamente o dispositivo invadido, a pena passará a ser de reclusão, de dois a cinco anos, e multa. Antes, a pena era de reclusão de seis meses a dois anos e multa.

O crime de furto qualificado mediante fraude, por meio de dispositivo eletrônico ou informático, terá pena de quatro a oito anos e multa. A pena poderá ser aumentada em um terço a dois terços se o crime for praticado mediante a utilização de servidor mantido fora do território nacional e majorada de um terço até o dobro, caso a ocorrência seja contra idoso ou vulnerável.

Para o crime de fraude eletrônica a pena também será de reclusão, de quatro a oito anos, e multa, "caso seja cometida com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo".

Um ataque cibernético também foi usado como justificativa pelo ex-ministro da Saúde, general Eduardo Pazuello, durante depoimento à CPI da Covid. O general foi questionado, na semana passada, sobre o sistema TrateCOV, distribuído a médicos em Manaus, no início de janeiro, para orientar o tratamento precoce com substâncias não recomendadas pela Organização Mundial da Saúde (OMS).

Segundo Pazuello, o sistema foi hackeado. "Um cidadão alterou os dados e colocou na rede. O boletim de ocorrência identificou. Quando descobrimos que foi hackeado, tiramos do ar imediatamente", disse ele.

Como mostrou o Estadão, mais de 340 médicos de Manaus foram habilitados a usar a plataforma após o lançamento em 14 de janeiro. Uma matéria da TV Brasil da época informava que o programa já estava em uso, em Manaus, e trazia o depoimento de um médico que utilizou o aplicativo. O presidente da CPI da Covid, senador Omar Aziz (PSD-AM) ironizou Pazuello dizendo que o hacker era tão bom que havia colocado o TrateCOV na TV Brasil.