A propósito do caso Janja – é caso de 154-A, CP?

Segunda-feira, 11 de dezembro, a tuitosfera (x-sfera?) só falava de uma coisa: a lamentável invasão da conta da Janja, esposa do Presidente da República. Pacote completo: misoginia, violência, baixa escolaridade. Não há dúvida da nocividade e reprovabilidade desse tipo de invasão e nos solidarizamos com Janja e com tantas outras vítimas de ações semelhantes. A pergunta desse curto artigo é outra: configura o crime do art. 154-A do Código Penal (introduzido pela famosa Lei Carolina Dieckmann)? A primeira pergunta relevante é: o que é dispositivo informático? Não há definição legal direta, mas pode-se orientar a interpretação conforme dois outros: A doutrina tende a interpretar dispositivo informático como o equipamento físico (hardware), com exceção de Régis Prado, para quem o termo “é dúbio, pouco claro”, preferindo, sem explicitar bem porquê, que abrangeria tanto software como hardware.3 Ocorre que software é o vocábulo pelo qual denomina-se o suporte lógico para o funcionamento de sistemas, englobando programas de computador e aplicações diversas, como os sistemas estruturais que permitem o funcionamento de sites de internet. Mas, diferente do sentido físico emanado de “dispositivo informático”, software corresponde a algo imaterial, sem equivalência concreta, embora o tratamento desses dados necessite dos recursos de hardware.4 Concorda-se, assim, com Sydow, para quem da norma do art. 154-A, CP “fica excluído o conceito de contas em serviços exclusivamente on-line (por ausência de suporte/dispositivo), softwares (bens imateriais) […]”. Assim, para fins de debate do “caso Janja”, suficiente afirmar que a invasão de conta de aplicativo de internet (Twitter/X) não é de “dispositivo informático”. Fundamentalmente porque o bad actor não acessa o computador que roda a aplicação, mas a funcionalidade acessível pela internet. Ajuda nessa conclusão outra pergunta: o que é invadir? Tecnicamente, invadir pressupõe uma burla à arquitetura de segurança. Seria o equivalente físico de pular um muro de uma casa ou quebrar uma janela. O uso desse verbo e sua indefinição na legislação gera um problema de tipicidade, pois parte substancial dos casos não passa por uma invasão, mas sim por um acesso ilegítimo (ou ilegal) utilizando as credenciais (login e senha) obtidas por engenharia social ou outros meios. Não à toa, as legislações – incluindo o próprio art. 325 do CP – utilizam o termo “acesso indevido”, sobretudo em contexto de intrusões a sistemas. Tanto assim que existe um projeto de Lei da Câmara (n.º 3.357/157), que planeja alterar o caput do 154-A para “acessar, indevidamente e por qualquer meio, sistema informatizado”. O legislador teve a oportunidade de refinar o art. 154-A no contexto da Lei 14.155/21, mas preferiu focar em outras questões (aumentou a pena e removeu a necessidade de violação de mecanismo de segurança). No mesmo sentido, a recomendação criminalizante da Convenção de Budapeste, de abril de 2023, art. 2. A jurisprudência passa, em grande parte, ao largo do relevante debate da tipicidade. Em primeiro lugar, porque a invasão costuma ser meio para outro crime: o estelionato (fraude eletrônica, art. 171, §2º-A), a obtenção de informações para furtar valores de uma conta bancária (furto qualificado, art. 155, §4º-B) ou a extorsão (art. 158); também se incluem aqui as hipóteses de extorsão sexual, por vezes tipificada como estupro (art. 213) e divulgações de conteúdos aviltantes (cenas de sexo, fatos degradantes ou segredos). A interceptação informática (art. 10, Lei 9.296/96) também é uma possibilidade nas dinâmicas em que o atacante ganha acesso para monitorar o furtivamente as atividades do usuário. Contudo, essa hipótese é excluída quando a vítima é expulsa da própria conta. No campo do art. 154-A, há uma tendência a desagregar o elemento “invasão de dispositivo” de outro, “instalar vulnerabilidade para obter vantagem ilícita”. 9 Para essa linha, o tipo criminalizaria a ação de instalar uma vulnerabilidade independente da necessidade de comprovação da invasão do dispositivo. Embora, para nós, isso signifique uma leitura seletiva (portanto violadora da legalidade), esse bypass é apto a criminalizar as situações em que a vítima foi enganada a baixar alguma ferramenta que não dá acesso ao dispositivo, mas permite uma migração da rede social ou das senhas guardadas no aparelho para uma conta do bad actor. O terceiro vetor é o silêncio absoluto quanto ao conceito de “dispositivo informático”, que é assumido, sem maior fundamentação, como “qualquer coisa informática”. Em uma apelação,10 o TJSP considerou correta a condenação no 154-A, do CP, argumentando que “o crime de invasão de dispositivo informático, sendo formal, se consumou a partir do momento que o acusado, burlando dispositivos de segurança, obteve acesso a dados privativos do aparelho celular da vítima, protegidos por lei.” Ocorre que, no caso concreto, o acusado não teve acesso ao celular da vítima. Ele simplesmente ingressou na conta de WhatsApp. O dispositivo da vítima se manteve intacto. Na mesma linha seguiu o TJRS,11 considerando – sem especificar a razão – que ingressar na conta de Facebook de alguém seria “invadir dispositivo de outrem”. O abandono da necessidade de identificar uma invasão a um dispositivo informático é mais percebido no âmbito das justificativas para quebras de sigilo. O art. 154-A, CP, é usualmente capitulado para justificar quebras ou cautelares, sem maiores explicações sobre porque ele seria aplicável nos casos de invasões de contas. Como exemplo, cita-se o TJPR, que vislumbrou o crime em uma tentativa de invasão da conta de Instagram do Governo do Pará12 e o TJRJ, que considerou a aplicabilidade do delito em uma invasão de conta de e-mail.13 Visando aprofundar a discussão, poderíamos cogitar a hipótese de que a invasão de uma aplicação de internet corresponderia a invasão de um dispositivo, na medida em que a “computação em nuvem” nada mais é do que o processamento em um computador de terceiro. A ideia é que, embora o computador da vítima não tenha sido acessado, haveria a invasão de um dispositivo – o servidor. Contudo, essa lógica cai em duas contradições: CONCLUSÃO: O art. 154-A é de péssima redação, sobretudo porque não dá conta de vários dos fenômenos da computação atual, em que o computador pessoal é um terminal para acesso de aplicações executadas por outro sistema. Essa nova