Skip to content

A propósito do caso Janja – é caso de 154-A, CP?

Segunda-feira, 11 de dezembro, a tuitosfera (x-sfera?) só falava de uma coisa: a lamentável invasão da conta da Janja, esposa do Presidente da República. Pacote completo: misoginia, violência, baixa escolaridade. Não há dúvida da nocividade e reprovabilidade desse tipo de invasão e nos solidarizamos com Janja e com tantas outras vítimas de ações semelhantes.

A pergunta desse curto artigo é outra: configura o crime do art. 154-A do Código Penal (introduzido pela famosa Lei Carolina Dieckmann)?

A primeira pergunta relevante é: o que é dispositivo informático?

Não há definição legal direta, mas pode-se orientar a interpretação conforme dois outros:

  • sistema de computador é “qualquer aparelho ou um conjunto de aparelhos interconectados ou relacionados entre si que asseguram, isoladamente ou em conjunto, pela execução de um programa, o processamento eletrônico de dados (artigo 1, “a.”, Decreto 11.491/23); e (b) entende-se por aplicações de internet “o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet” (art. 3º, VII, MCI).

A doutrina tende a interpretar dispositivo informático como o equipamento físico (hardware), com exceção de Régis Prado, para quem o termo “é dúbio, pouco claro”, preferindo, sem explicitar bem porquê, que abrangeria tanto software como hardware.3 Ocorre que software é o vocábulo pelo qual denomina-se o suporte lógico para o funcionamento de sistemas, englobando programas de computador e aplicações diversas, como os sistemas estruturais que permitem o funcionamento de sites de internet. Mas, diferente do sentido físico emanado de “dispositivo informático”, software corresponde a algo imaterial, sem equivalência concreta, embora o tratamento desses dados necessite dos recursos de hardware.4 Concorda-se, assim, com Sydow, para quem da norma do art. 154-A, CP “fica excluído o conceito de contas em serviços exclusivamente on-line (por ausência de suporte/dispositivo), softwares (bens imateriais) […]”.

Assim, para fins de debate do “caso Janja”, suficiente afirmar que a invasão de conta de aplicativo de internet (Twitter/X) não é de “dispositivo informático”. Fundamentalmente porque o bad actor não acessa o computador que roda a aplicação, mas a funcionalidade acessível pela internet.

Ajuda nessa conclusão outra pergunta: o que é invadir?

Tecnicamente, invadir pressupõe uma burla à arquitetura de segurança. Seria o equivalente físico de pular um muro de uma casa ou quebrar uma janela. O uso desse verbo e sua indefinição na legislação gera um problema de tipicidade, pois parte substancial dos casos não passa por uma invasão, mas sim por um acesso ilegítimo (ou ilegal) utilizando as credenciais (login e senha) obtidas por engenharia social ou outros meios. Não à toa, as legislações – incluindo o próprio art. 325 do CP – utilizam o termo “acesso indevido”, sobretudo em contexto de intrusões a sistemas.

Tanto assim que existe um projeto de Lei da Câmara (n.º 3.357/157), que planeja alterar o caput do 154-A para “acessar, indevidamente e por qualquer meio, sistema informatizado”. O legislador teve a oportunidade de refinar o art. 154-A no contexto da Lei 14.155/21, mas preferiu focar em outras questões (aumentou a pena e removeu a necessidade de violação de mecanismo de segurança). No mesmo sentido, a recomendação criminalizante da Convenção de Budapeste, de abril de 2023, art. 2.

A jurisprudência passa, em grande parte, ao largo do relevante debate da tipicidade.

Em primeiro lugar, porque a invasão costuma ser meio para outro crime: o estelionato (fraude eletrônica, art. 171, §2º-A), a obtenção de informações para furtar valores de uma conta bancária (furto qualificado, art. 155, §4º-B) ou a extorsão (art. 158); também se incluem aqui as hipóteses de extorsão sexual, por vezes tipificada como estupro (art. 213) e divulgações de conteúdos aviltantes (cenas de sexo, fatos degradantes ou segredos). A interceptação informática (art. 10, Lei 9.296/96) também é uma possibilidade nas dinâmicas em que o atacante ganha acesso para monitorar o furtivamente as atividades do usuário. Contudo, essa hipótese é excluída quando a vítima é expulsa da própria conta.

No campo do art. 154-A, há uma tendência a desagregar o elemento “invasão de dispositivo” de outro, “instalar vulnerabilidade para obter vantagem ilícita”. 9 Para essa linha, o tipo criminalizaria a ação de instalar uma vulnerabilidade independente da necessidade de comprovação da invasão do dispositivo. Embora, para nós, isso signifique uma leitura seletiva (portanto violadora da legalidade), esse bypass é apto a criminalizar as situações em que a vítima foi enganada a baixar alguma ferramenta que não dá acesso ao dispositivo, mas permite uma migração da rede social ou das senhas guardadas no aparelho para uma conta do bad actor.

O terceiro vetor é o silêncio absoluto quanto ao conceito de “dispositivo informático”, que é assumido, sem maior fundamentação, como “qualquer coisa informática”. Em uma apelação,10 o TJSP considerou correta a condenação no 154-A, do CP, argumentando que “o crime de invasão de dispositivo informático, sendo formal, se consumou a partir do momento que o acusado, burlando dispositivos de segurança, obteve acesso a dados privativos do aparelho celular da vítima, protegidos por lei.” Ocorre que, no caso concreto, o acusado não teve acesso ao celular da vítima. Ele simplesmente ingressou na conta de WhatsApp. O dispositivo da vítima se manteve intacto. Na mesma linha seguiu o TJRS,11 considerando – sem especificar a razão – que ingressar na conta de Facebook de alguém seria “invadir dispositivo de outrem”.

O abandono da necessidade de identificar uma invasão a um dispositivo informático é mais percebido no âmbito das justificativas para quebras de sigilo. O art. 154-A, CP, é usualmente capitulado para justificar quebras ou cautelares, sem maiores explicações sobre porque ele seria aplicável nos casos de invasões de contas. Como exemplo, cita-se o TJPR, que vislumbrou o crime em uma tentativa de invasão da conta de Instagram do Governo do Pará12 e o TJRJ, que considerou a aplicabilidade do delito em uma invasão de conta de e-mail.13

Visando aprofundar a discussão, poderíamos cogitar a hipótese de que a invasão de uma aplicação de internet corresponderia a invasão de um dispositivo, na medida em que a “computação em nuvem” nada mais é do que o processamento em um computador de terceiro. A ideia é que, embora o computador da vítima não tenha sido acessado, haveria a invasão de um dispositivo – o servidor. Contudo, essa lógica cai em duas contradições:

  • o dispositivo responsável pelo cloud computing não foi “invadido”. Quem acessa o serviço não tem acesso ao servidor, apenas à funcionalidade por ele fornecida e aos dados cujo titular é a vítima. Portanto, o correto seria falar em duas ações: o acesso ilegítimo a um sistema e a violação de dados de um titular.
  • assumindo-se que o acesso ilegítimo ao perfil é uma invasão do dispositivo responsável pelo cloud computing, há uma relação dúbia na condição de procedibilidade. Nessa linha, a vítima deixa de ser apenas o titular dos dados e passa a ser também o dono do servidor que teve a disponibilidade de seu sistema comprometida. Como o art. 154-A demanda representação (art. 154-B), pode-se arguir que, como há duas afetações de diferentes bem jurídicos para duas vítimas (inviolabilidade de dados e propriedade privada/liberdade de comércio), as duas manifestações de vontade seriam necessárias. Esse problema torna óbvio que a incriminação das invasões de perfil deveria ser pensada apenas pelo prisma da proteção de dados do usuário titular dos dados. Para os casos em que o atacante prejudicou o próprio funcionamento do sistema (derrubou o site, p. ex.), a incriminação deveria ser autônoma e relacionada aos prejuízos financeiros suportados pela empresa afetada pelo ataque.

CONCLUSÃO: O art. 154-A é de péssima redação, sobretudo porque não dá conta de vários dos fenômenos da computação atual, em que o computador pessoal é um terminal para acesso de aplicações executadas por outro sistema. Essa nova forma de interação do usuário com a máquina torna nebulosa a fronteira entre computação local (ou proteção do próprio dispositivo) e em nuvem. Portanto, em linha com a convenção de Budapeste e com a noção de titularidade de dados (LGPD), o ideal é pensar em estruturas típicas que criminalizem o acesso ilegal de sistemas, cuja vítima é o titular (pessoa física ou jurídica) das informações e/ou violação de dados, conforme recomendação do Artigo 4 do mesmo diploma.14 Por enquanto, o caso Janja – na medida em que se cuide apenas de acesso indevido à aplicação -, é atípico.

Esse site não utiliza cookies.