O governo Bolsonaro sancionou a lei que altera o Código Penal para endurecer as penas para crimes cibernéticos. Em vigor a partir desta sexta-feira (28), a lei 14.155 quadruplica a punição para quem invade computadores ou celulares para obter, adulterar ou destruir dados sem autorização ou para instalar vulnerabilidades nas máquinas (como um vírus) para obter vantagem ilícita.
A pena era de três meses a um ano de reclusão, nos regimes aberto ou semiaberto, mais multa. Passou para um a quatro anos de reclusão, em regimes aberto, semiaberto ou fechado, e multa.
A tramitação do projeto ocorre desde 2020 e é uma demanda de Ministérios Públicos e de policiais na linha de frente desse tipo de investigação.
A mudança é na lei Carolina Dieckmann, aprovada em 2012 e que altera o Código Penal. A nova redação também torna o conceito mais genérico, sendo mais fácil aplicá-la em alguns casos.
Na determinação anterior, era considerado crime invadir dispositivo mediante violação indevida de mecanismo de segurança, ou seja, era preciso quebrar uma senha ou burlar algum tipo de barreira digital.
A atualização retira esse trecho e torna o escopo mais abrangente. A partir de agora, apenas a invasão de dispositivo já é ilegal, incriminando quem obtém acesso ao celular alheio por meio de engenharia social, por exemplo, como convencendo uma pessoa a compartilhar sua senha.
Os golpes e ataques digitais cresceram de forma expressiva na pandemia, com aumento de uso da internet para trabalho e ensino. Phishing, clone de WhatsApp, fraudes relativas a cartões de crédito e auxílio emergencial foram recorrentes no Brasil, um dos países com maior incidência de crime cibernético.
O ransomware, em que os criminosos sequestram máquinas, capturam dados e só os liberam aos titulares após pagamento, tende a aumentar neste segundo ano de pandemia, de acordo com análises internacionais de segurança digital. Foi o caso da Embraer, por exemplo, que teve dados vazados na internet após se recusar a pagar a fiança a criminosos.
Especialistas afirmam que essa conjuntura de ameaça eletrônica acelerou o andamento da lei. No último ano, hackers também invadiram os sistemas do STF (Supremo Tribunal Federal) e do STJ (Superior Tribunal de Justiça). Soma-se a isso a sequência de exposições de informações de brasileiros após o chamado megavazamento, em janeiro.
“Tornou-se uma urgência, uma vez que as penas aplicadas eram baixas. Quanto menor a pena, mais rápido prescreve o crime”, diz Carla Rahal Benedetti, sócia do Viseu Advogados e doutora em direito penal.
Segundo ela, muitos crimes dessa esfera eram prescritos pela demora na Justiça. A elevação da pena aumenta o tempo de investigação. Se antes a prescrição era de quatro anos, agora é de oito.
A lei também aumenta de um a dois terços a pena se o crime for praticado mediante a utilização de servidor fora do território nacional, acrescenta a fraude eletrônica (uso de informações fornecidas pela vítima induzida a erro por meio de redes sociais ou email) ao artigo de estelionato e dobra a pena quando o alvo for idosos ou vulneráveis.
Em grupos que acompanharam a tramitação da lei houve preocupação de que a norma fosse uma represália a jornalistas ou pesquisadores de segurança digital. Durante a CPI da Covid, Mayra Pinheiro, secretária do Ministério da Saúde conhecida como “capitã cloroquina”, e o ex-ministro da Saúde Eduardo Pazuello afirmaram que um hacker havia invadido o aplicativo do governo TratCov.
Eles se referiam ao jornalista Rodrigo Menegat, que acessou o código-fonte do aplicativo, disponível a qualquer pessoa que usar o inspetor de elementos, prática completamente lícita.
“Não tem relação clara com o TratCov, é uma pauta mais antiga. Mas é importante destacar que antes era preciso violar um mecanismo de segurança e isso foi retirado do texto, torna mais genérico, o que pode gerar interpretações problemáticas”, afirma Bruna Santos, coordenadora de Incidência da Associação Data Privacy Brasil de Pesquisa.
