Os promotores de Justiça do MPRJ Sauvei Lai e Pedro Borges Mourão abordam a urgência da aprovação do Projeto de Lei 4.939/2020, “com a análise e os aperfeiçoamentos que são naturalmente esperados do amplo debate democrático no parlamento”, no artigo “A Promulgação da Convenção de Budapeste (dos Crimes Cibernéticos) e o Projeto de Lei 4.939/2020”.
Leia Mais: ´Amperj Debates’ sobre plataformas digitais está disponível no YouTube
Roda de conversa sobre dermatologia reúne 20 aposentados na Amperj
Para os autores, apesar da recente promulgação pelo Brasil da Convenção de Budapeste, principal tratado internacional sobre crimes cibernéticos, o cenário atual é muito mais dramático, “porque o que se vê na segunda década do século 21 é a escalada exponencial de todas as atividades cibernéticas ilegais”.
O Projeto de Lei 4.939/20, apresentado pelo deputado federal Hugo Leal (PSD-RJ), estabelece protocolos na produção de provas digitais, assegurando amplas garantias para os direitos individuais e coletivos envolvidos. O PL foi coordenado pelos dois promotores de Justiça e visa corrigir “a inexistência de uma legislação capaz de tipificar e apenar adequadamente as condutas ilegais e disruptivas do universo informático”.
Leia o artigo na íntegra:
A Promulgação da Convenção de Budapeste (dos Crimes Cibernéticos) e o Projeto de Lei 4.939/2020
Por Sauvei Lai e Pedro Borges Mourão
O Brasil promulgou, com 22 anos de atraso, a Convenção de Budapeste de 2001, através do Decreto nº 11.491/2023, o principal tratado internacional sobre crimes cibernéticos, novos meios de provas digitais, cooperação jurídica internacional, entre outros assuntos relacionados, que conta com 67 países signatários, por enquanto.
Os governos europeus perceberam no final da década de 90 a necessidade de combater o crime cibernético e, consequentemente, de regulamentar as novas ferramentas tecnológicas investigativas para o enfretamento desse novo tipo de delito.
Um dos estopins desse despertar foi a famosa caçada ao hacker, hoje consultor de segurança cibernética, Kevin Mitnick. Kevin foi preso em 1995 acusado de crimes que envolviam invasão de dispositivos eletrônicos informáticos. Aos 12 anos de idade ele já aplicava engenhosidade social para fraudar o sistema de cartão de transporte público de Los Angeles e aos 16 obteve acesso não autorizado a uma rede de computadores pela primeira vez na história, a rede The Ark, utilizada pela Digital Equipament Corporation, a maior empresa de computação entre os anos 1960 e 1990.
Nesta época surgiu o termo “cibercrime”, em Lyon na França, logo após uma reunião do subgrupo do G8 da ONU que discutiu o assunto que começava a assustar os governos, pois estavam se deparando com invasões de computadores para a obtenção de dinheiro e com ataques eletrônicos que paralisavam atividades de órgãos públicos e de empresas.
Nos anos 2000, iniciaram as espionagens cibernéticas e em 2014 inaugurou-se a era do “ransonware”, ou seja, o sequestro de dados informáticos de corporações e de governos, exigindo-se resgastes vultosos para que as vítimas tivessem seus dados de volta.
Diante desse cenário, em 2000, o Conselho da Europa convocou uma conferência em Budapeste, Hungria, para debater a questão, que resultou na Convenção de Budapeste, também conhecido como a Convenção sobre Crimes Cibernéticos, originalmente assinada por 48 países e, atualmente, por mais de 67 países, incluindo EUA, Japão, África do Sul e, recentemente, Brasil, como dito acima.
No entanto, o recém-ingresso do Brasil é num cenário muito mais dramático, porque o que se vê na segunda década do século 21 é a escalada exponencial de todas as atividades cibernéticas ilegais, com foco na violação de dados privados, fraudes, fake news (desinformação), pedofilia, discurso de ódio e terrorismo, seja através de ataques eletrônicos, seja pela disseminação de medo graças à florescente hiperconectividade da sociedade contemporânea de informação.
O Brasil pagou um preço pela demora. A inexistência por mais de duas décadas de uma legislação capaz de tipificar e apenar adequadamente as condutas ilegais e disruptivas do universo informático que só aumentam a cada dia, nos faz ocupar o 4º lugar no mundo entre os países mais afetados por “ransonware” e a liderança global do ranking de ameaças de extorsão por correio eletrônico, incluindo os de natureza sexual. Ou seja, um verdadeiro paraíso para cibercriminosos, que hoje são bem mais habilidosos do que era o jovem Kevin nos anos 90 e que “trabalham” em um cenário favorável de reiterados vazamentos massivos de dados pessoais, como em setembro de 2021, quando 137 mil chaves PIX [1] foram acessadas a partir da base de clientes da Abastece Aí. Por sinal, no que se refere ao PIX, este foi, por ora, o 4º vazamento desde o lançamento.
Não é à toa que, em um seminário em Lisboa (Portugal), o ministro Sebastião Reis do Superior Tribunal de Justiça afirmou que “Estamos em um momento muito diferente, com uma nova criminalidade digital. Existe a apropriação de imagens, a apropriação de dados, sem falar no problema das criptomoedas, que têm sido muito utilizadas na lavagem de dinheiro. É uma realidade para a qual o Judiciário ainda não está preparado. Ele vai ter de se adaptar, criar mecanismos de enfrentamento e se aparelhar não só de forma material, mas também de forma técnica”[2].
A constatação do ministro Sebastião Reis nos mostra cruelmente o quanto avançamos pouco nesta temática nos últimos 20 anos. Houve tímidas legislações que modificaram o Código Penal, como a famosa “Lei Carolina Dieckmann” (Lei 12.737/12) que introduziu o art. 154-A, depois alterado pela Lei 14.155/21, que, por sua vez, agravou a pena da invasão de dispositivo informático, do furto e do estelionato cometido de forma eletrônica ou pela internet, além de promover mudanças no Código de Processo Penal (art. 70, § 4º) quanto à competência territorial do estelionato, principalmente o por meio eletrônico.
Talvez essas mudanças legislativas tenham sido reativas e sem a devida e necessária sistematização, pois se limitou a adaptar tipos penais de um código da primeira metade do século passado às novas condutas ilegais que se desenvolvem num mundo virtual.
A experiência dos últimos 20 anos, vivida pelos países que aderiram imediatamente à Convenção de Budapeste, nos ensina que somente uma legislação moderna, sintonizada com as disrupções dos elementos informáticos e com as condutas que deles se utilizam, seria efetiva no combate aos crimes cibernéticos.
Assim, muito embora se comemore a promulgação da Convenção de Budapeste pelo Brasil, há de se reconhecer que sem a edição de norma regulamentadora, conforme exigência expressamente estabelecida no texto daquela, seguiremos nos primeiros lugares dos rankings de crimes cibernéticos do mundo.
Porém, há notícias alvissareiras. Em 2020, o Deputado Federal Hugo Legal apresentou na Câmara dos Deputados o Projeto de Lei 4.939/20, coordenado pelos Promotores de Justiça do Ministério Público do Rio de Janeiro Sauvei Lai e Pedro Borges Mourão. O projeto estabelece protocolos na produção de provas digitais, assegurando amplas garantias para os direitos individuais e coletivos envolvidos (a exemplo da privacidade) no curso da imprescindível persecução dos crimes cibernéticos (cf. art. 13), além de introduzir no rol de meios de obtenção de prova medidas efetivas e já utilizadas há anos em sólidas e reconhecidas democracias (cf. art. 9º), como o “policeware”, empregado em investigações da Alemanha (Bundestrojan), França (Dispositif Technique) e Itália (Captatore Informatico), todos operando com sucesso e cercados dos devidos limites e rígidos controles de legalidade.
Não só. O projeto busca pacificar alguns conceitos informáticos (cf. art. 3º), usados no dia a dia da persecução dos crimes cibernéticos, em homenagem ao princípio da legalidade estrita no Direito Penal em um Estado Democrático de Direito, além de tipificar novas condutas, inexistentes no Brasil, mas previstas desde 2001 pela Convenção de Budapeste. São condutas afetas ao ciberespaço e, por isso, devem ser tratadas de acordo com essa característica, tais como falsidade informática, dano informático, sabotagem informática e acesso ilícito a dispositivos informáticos (cf. arts. 31 e seg.), seguindo a moderna dogmática de um Direito Penal e Processual Informático, que visa proteger novos bens jurídicos com as suas especificidades teóricas (como sigilo, integridade e disponibilidade de dados informáticos), algo que o nosso Código Penal de 1940 não tinha a menor chance de considerar, mas que foram amplamente examinadas e julgadas pelos tribunais dos países signatários da Convenção de Budapeste.
Vale destacar também que o PL 4.939/20 regula uma cadeia de custódia específica das provas digitais (cf. art. 19) que, pelas suas próprias naturezas e complexidades, demandam protocolos exclusivos, à luz das normas técnicas vigentes no país, garantindo a autenticidade e a integridade da evidência e, em última análise, o contraditório e a ampla defesa do investigado.
Outro ponto crucial é a previsão de maior proteção a dados pessoais sensíveis, eventualmente coletados durante a investigação informática, com sua posterior eliminação pelos órgãos estatais (cf. art. 24).
A qualidade do PL 4.939/2020 já foi percebida pela doutrina e pelas áreas técnicas, que foram intensamente consultadas pelos coordenadores durante a elaboração. O pioneiro do Direito Penal Informático brasileiro, professor Spencer Sydow, anotou na 3ª edição de sua obra, Direito Penal Informático, p. 727: “sempre que um projeto de lei de Direito Informático tem a participação de estudiosos do tema, este merece atenção” e que o “normativo em debate traz proposta de definições importantes”, analisando na sequência diversos aspectos do texto.
Atualmente o projeto encontra-se na Comissão de Comunicação da Câmara dos Deputados por redistribuição da extinta Comissão de Ciência, Tecnologia e Inovação, mantendo-se o relator anterior, Deputado Federal Rui Falcão.
Urge o andamento do seu processo legislativo com a análise e os aperfeiçoamentos que são naturalmente esperados do amplo debate democrático no parlamento, esperando-se que, no menor tempo possível, nosso anacronismo seja resolvido e o preço pago diariamente pelo atraso se reduza com a adoção de visões, técnicas e ferramentas adequadas aos riscos inerentes à sociedade da informação.
[2] https://www.conjur.com.br/2022-jun-30/judiciario-nao-preparado-crimes-virtuais-opina-ministro
SAUVEI LAI – Promotor de Justiça do MPRJ e membro-auxiliar da Procuradoria-Geral da República perante os Tribunais Superiores desde 2021. Associado da Amperj. Integrante do grupo de trabalho da sub-relatoria da revisão do novo Código de Processo Penal (NCPP) na Câmara dos Deputados (2019) e representante da Conamp perante a Câmara dos Deputados na discussão do NCPP (2021). Coautor do anteprojeto de Lei nº 4.939/2020 sobre Diretrizes do Direito da Tecnologia da Informação e outros assuntos.
PEDRO BORGES MOURÃO SÁ TAVARES DE OLIVEIRA – Promotor de Justiça do MPRJ e associado da Amperj, foi secretário de Tecnologia da Informação do MPRJ, coordenou áreas de geoprocessamento e ciência de dados, professor na FGV-Direito Rio, ESMPU, IERBB, Academia de Forense Digital e Academia do Perito. Coautor do anteprojeto de Lei nº 4.939/2020 sobre Diretrizes do Direito da Tecnologia da Informação e outros assuntos.