Não quero aqui traçar um tratado ou finalizar um assunto sobre a conduta dos "hackers" nos últimos dias em relação aos sites brasileiros. Quero sim, colocar o assunto para que haja o debate, já que alguns, como a Dra. Laine Souza, entendem que não há tipo penal na Lei brasileira que possa ser utilizada para enquadrar as condutas praticadas.
Inicialmente, para que possamos entender melhor o assunto, há que se diferenciar o tipo de conduta cracker utilizada para os ataques aos sites governamentais. Pelas divulgações da mídia, em suma foram duas as formas de ataques: o ataque de negação de serviços e a pixação virtual de sites, ou seja, respectivamente, ataque DDoS e defacement.
Para SOLHA, TEIXEIRA e PICCOLINI (2000), o ataque DDoS se caracteriza, resumidamente:
O ataque DDoS é dado, basicamente, em três fases: uma fase de "intrusão em massa",na qual ferramentas automáticas são usadas para comprometer máquinas e obter acesso privilegiado (acesso de root). Outra, onde o atacante instala software DDoS nas máquinas invadidas com o intuito de montar a rede de ataque. E, por último, a fase onde é lançado algum tipo de flood de pacotes contra uma ou mais vítimas, consolidando efetivamente o ataque.
Já o defacement é um termo de origem inglesa para o ato de modificar ou danificar a superfície ou aparência de algum objeto, usado comumente para categorizar os ataques realizados por defacers e script kiddies para modificar a página de um sítio na Internet (in Wikipedia, neste link).
No primeiro caso - ataque DDos - a tipificação penal hoje possível no Brasil é a prevista no art. 265 do Código Penal:
Art. 265 - Atentar contra a segurança ou o funcionamento de serviço de água, luz, força ou calor, ou qualquer outro de utilidade pública:Pena - reclusão, de um a cinco anos, e multa.
Nesse caso, há que se demonstrar que o que está na internet é um serviço de utilidade pública e que por conta da ação houve a indisponibilidade desse serviço à população. Isso não ocorrerá, por exemplo, nos sites de órgãos governamentais que apenas disponibilizam notícias ao público. Um exemplo claro de serviço público disponibilizado através de um site público é quanto à solicitação de passaportes junto à Polícia Federal: indisponibilizado o serviço por ataque de negação de serviço caracterizado está o crime de "Atentado contra a segurança de serviço de utilidade pública".
De outra parte, pode surgir a pergunta: nesse caso a vítima é a Administração Pública, mas e se o particular se sentir prejudicado, o que sobra a ele? Poderíamos conjecturar quanto ao crime de dano, previsto no art. 163 do Código Penal, porém o dano tem de ser tangível para a comprovação. A reparação, por parte do usuário prejudicado, pode ser também na área cível, buscando a reparação de dano.
No caso de defacement - desconfiguração de páginas na internet -, podem ocorrer duas possibilidades: 1) o serviço público posto à disposição penal internet é de utilidade pública: se foi indisponibilizado por ação cracker de desconfiguração da página, caracterizado está o delito acima citado (art. 265 do CP); 2) o site governamental não contém um serviço de utilidade pública: neste caso, uma vez tangível o dano, geralmente caracterizado pela criação da página, bancos de dados, manutenção e o custo da reparação, caracterizado está o crime de dano, conforme segue:
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:Pena - detenção, de um a seis meses, ou multa.Dano qualificadoParágrafo único - Se o crime é cometido:.....III - contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista;.....Pena - detenção, de seis meses a três anos, e multa, além da pena correspondente à violência.
Outro aspecto que poderá ocorrer em razão da ação hacker: invasão de site/rede pública com acesso ao banco de dados, reservado ou confidencial, e divulgação e divulgação dos dados. Caracterizaria o previsto no art. 153, § 1º-A? Veja o teor do artigo:
Divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública:Pena – detenção, de um a quatro anos e multa.
A dúvida que surge é se é um crime comum ou próprio esse previsto no parágrafo primeiro, pois que o do caput é crime próprio. O nosso entender é de que é um crime comum e que qualquer pessoa pode cometê-lo. Sendo assim, uma vez de posse dos dados, mesmo que por invasão de um sistema, com consequente divulgação, há caracterização do crime.
Bom, e se o criminoso virtual invadiu o banco de dados, não modificou, não danificou e apenas copiou os dados? E se os colocar à venda? E, caso alguém os utilze para fins de criação de documentos falsos, registros de sites etc? Isso é assunto para o próximo artigo. Até lá!
Veja neste artigo em como se proteger dos ataques de negação de serviço: Tudo que você precisa saber sobre os ataques DDoS, por Liliana Esther Velásquez Alegre Solha, Renata Cicilini Teixeira e Jacomo Dimmit Boca Piccolini, neste link.
Comentários
parabéns pelo artigo.
Considero muito importante fomentar a discussão sobre a aplicação da legislação vigente para os autores de crimes cibernéticos.
Posso afiançar que outros integrantes dos órgãos que promovem a investigação criminal no país possuem posicionamentos semelhantes, ou seja, concordam que nas situações apontadas é possível ocorrer a responsabilização criminal do autor.
Um Fraternal Abraço,
Higor Vinicius Nogueira Jorge
www.higorjorge.com.br