BuscaLegis.ccj.ufsc.br

A tutela penal dos sistemas de computadores

Francisco de Assis Rodrigues
acadêmico da Faculdade de Direito da Universidade de Brasília

Sumário: 1. Introdução 2. Metodologia 3. Definição de Sistema de Computador 4. Sistema de computador: um bem jurídico 5. Condutas lesivas aos sistemas de computadores: relato de casos 6. Modelo Geral das condutas lesivas aos sistemas de computadores 7. Dispositivos legais relacionados às condutas lesivas 8. Conclusões 9. Notas 10. Bibliografia.

1.INTRODUÇÃO

Este trabalho destina-se a analisar condutas que lesionam ou que potencialmente podem lesionar os sistemas de computadores praticadas por meio das redes integradas de computadores⁽¹⁾. Por ser a maior dessas redes, a Internet será o exemplo mais recorrente ao longo do trabalho. As estatísticas apresentadas sempre referir-se-ão à Internet, exceto em casos em que for citado, explicitamente, que se trata de uma rede interna ou de casos de acesso remoto.⁽²⁾

A Internet tem crescido vertiginosamente nos últimos anos. O número de usuários em todo o mundo era de 349 milhões no ano 2000. Estima-se que serão mais de 765 milhões de usuários em 2005. O número de usuários da América do Sul era 8,19 milhões em 2000, sendo que a maioria era do Brasil, com aproximadamente 7,5 milhões de usuários.⁽³⁾

Paralelamente ao crescimento da rede, constata-se cada mais vez um crescente número usuários fazendo mau uso deste novo meio de comunicação. O número de invasões, acessos não-autorizados e destruição de dados de sistemas são alarmantes. Em junho do ano passado, a empresa brasileira de segurança Módulo Security Solutions realizou a 6^ª Pesquisa Nacional sobre Segurança da Informação, chegando à conclusão de que os ataques e incidentes são cada vez mais graves. Das empresas que participaram da pesquisa, apenas 27% afirmaram nunca terem sofrido qualquer tipo de ataque. Outros 32% das empresas afirmaram terem sido vítimas de algum tipo de ataque ou incidente, sendo que 49% delas afirmaram que foram praticados nos últimos seis meses. Os 41% restantes não sabem sequer se foram invadidos, revelando assim o grande risco que as organizações correm por não estarem cientes da vulnerabilidade de suas redes internas. Ainda tendo por base os dados dessa pesquisa, ficou constatado que as maiores ameaças às organizações são: os vírus, em primeiro lugar, sendo a maior preocupação de 75% das empresas que participaram da pesquisa; a divulgação de senhas é a segunda maior ameaça aos sistemas, 57% das empresas afirmaram passar por esse problema; a atividade dos hackers representou 44%; e os funcionários insatisfeitos representaram 42%. Outro dado relevante é que apenas 9% das empresas que sofreram algum tipo de ataque tomaram providências legais, a maioria (54%) limitou-se a providências internas.⁽⁴⁾

Segundo Thiago ZANINOTTI, consultor de segurança da informação, o Brasil encontra-se em um estágio imaturo, em que predominam a escassez de legislação sobre o assunto e o descaso das autoridades, fase semelhante a que os EUA passaram no início da década de 90. Ainda estão em implantação as primeiras delegacias de combate aos crimes virtuais, que carecem, muitas vezes, de profissionais com conhecimentos em informática.⁽⁵⁾ Não há atualmente nenhuma lei específica que garanta proteção a quem sofra algum desses ataques. Encontram-se apenas projetos de leis e anteprojetos, que muitas vezes não tratam a matéria de forma satisfatória. No âmbito acadêmico, também estão incipientes as pesquisas, sendo poucas de boa qualidade, a maioria apenas faz uma miscelânea dos problemas surgidos com o advento das redes integradas de computadores, sem atentar para a sistematização e a correta aplicação dos termos de informática.

Diante de tal situação, não poderia o Direito permanecer inerte, pois diversas empresas, particulares e órgãos públicos estão sofrendo prejuízos de ordem moral e econômica e, na maioria das vezes, o culpado não é responsabilizado pelo dano que causou. Não se pode, como disse o Deputado Osmânio PEREIRA na Justificativa do Projeto de Lei n. 3.258 de 1997, deixar que um moderno e eficaz meio de comunicação seja mal utilizado e torne-se um veículo de desagregação da sociedade.

Dentro desse panorama, tem-se visto cada vez mais, como foi mostrado nas estatísticas supracitadas, um crescente número de invasões a sistema de computadores, ataques a sites, "roubo" de senhas, dentre outras coisas. Nesse contexto, pode o sistema de computador ser considerado um bem jurídico, merecendo proteção legal? Se afirmativa a resposta, os tipos penais existentes em nosso ordenamento são suficientes para proteger esse bem dessas ameaças? A presente artigo procurará apresentar soluções para esses problemas.

Para tanto, ficou dividida em três partes. Na primeira, serão feitas definições de termos técnicos, sendo que o principal conceito será de sistema de computador. Após definir o que vem a ser sistema de computador, será feita uma análise para verificar se ele integra ou não o rol de bens que merecem proteção do Direito. Na segunda parte, serão mostradas as condutas lesivas aos sistemas. Nesta etapa, procurar-se-á fazer um levantamento das condutas que têm reiteradamente lesionado o sistema de computador. Ainda na segunda etapa serão mostrados os dispositivos legais correlatos às condutas levantadas. Por fim, será feita, na terceira parte, a abordagem jurídica dessas condutas lesivas aos sistemas de computadores. Nesta abordagem, analisar-se-á cada conduta levantada na fase anterior separadamente, tendo como parâmetro leis nacionais, não olvidando também os projetos e anteprojetos de lei em tramitação. A terceira etapa tem o objetivo de responder diretamente à questão central da pesquisa, qual seja a de verificar se os tipos penais existentes já são suficientes para se garantir proteção jurídica ao sistema de computador.

2.METODOLOGIA

Primeiramente, procedeu-se ao estudo do sistema de computador, elaborando a definição de sistema de computador, bem como mostrando sua importância para a sociedade moderna. A definição mostrou-se necessária para saber até que ponto se pode danificar um sistema de computador, determinando assim quais condutas seriam analisadas na pesquisa e quais seriam descartadas. Depois de definido o sistema de computador, foi importante realizar um estudo para verificar a importância de tal instrumento para a sociedade moderna, verificando, por via reflexa, se poder-se-ia considerá-lo um bem jurídico.

A fase seguinte consistiu no levantamento de condutas que reiteradamente têm lesionado os sistemas de computadores. Nesta fase, objetivou-se coletar dados que mostrassem de que forma têm ocorrido lesões aos sistemas de computadores. Para tanto, foram feitas buscas em arquivos virtuais de revistas e jornais à procura de relato casos que interessassem à pesquisa. Primeiramente, foram catalogadas as várias matérias e artigos encontrados. Em momento posterior, fez-se a divisão desses casos pela forma como haviam sido praticados. Tendo como resultado desta etapa a sistematização dos diversos casos levantados em condutas genéricas que lesionam os sistemas de computadores.⁽⁶⁾

Partiu-se, então, para a pesquisa de leis, projetos e anteprojetos de leis que tipificassem as condutas levantadas na fase anterior.

Procedeu-se, por fim, a uma análise de subsunção das condutas aos tipos penais pertinentes. Após essa etapa, foi possível responder ao problema inicial da pesquisa, v. g.: os tipos penais existentes no ordenamento jurídico brasileiro são suficientes para garantir a proteção jurídica dos sistemas de computadores?

3.DEFINIÇÃO DE SISTEMA DE COMPUTADOR

Cabe ressaltar, antes de adentrar na definição de sistema de computador, que são distintos os conceitos de sistema de computador e sistema operacional. Além dessa terminologia, o sistema operacional possui outras pouco usuais: sistema supervisor, sistema monitor, e sistema de executivo.

D. W. BARRON diz que o sistema operacional (SO) é um dos principais componentes do computador e foi desenvolvido como resposta à necessidade de maximizar a utilização do processador central e dos dispositivos periféricos. Com exceção das máquinas pequenas, é impossível operar um computador se, no mesmo, não existir algum tipo de sistema. Da mesma forma, um sistema danificado pode causar efeitos negativos à capacidade de processamento da máquina. Os SOs proporcionam ainda uma maior comunicabilidade entre os usuários e o computador.⁽⁷⁾

Para mostrar quanto os sistemas operacionais revolucionaram o campo da computação, Barron relata em seu livro de que modo era realizada a operação do computador antes do advento dos sistemas operacionais:

En los primeiros días de la computación la computadora era operada a mano. Es decir, el operador (en esos tiempos también el programador) preparaba un trabajo montando cintas magnéticas, cargando la lectora de tarjetas, etc., y luego empezaba el programa maniobrando llaves en la consola. Si el programa necesitaba la intervención del operador, éste tomaba las medidas necessarias y volvía a poner marcha el programa. Finalmente al terminar el trabajo, el operador desmontaba las cintas, descargaba la lectora de tarjetas y la impresora, y comenzaba entoces a preparar el próximo trabajo.⁽⁸⁾

Nota-se, por esse trecho, o quanto era penoso operar um computador antes de criarem os sistemas operacionais. Além de operar, o usuário tinha que entender também de programação, o que dificultava muito o acesso das pessoas leigas ao computador.

Tendo já conhecimento de algumas funções dos sistemas operacionais, pode-se defini-lo como sendo um programa que, após ser carregado (loaded) no computador por meio de um boot⁽⁹⁾, controlará todos os outros programas daquele computador. Estes outros programas são chamados de aplicativos. Os aplicativos, por seu turno, fazem uso do sistema operacional para realizar as tarefas⁽¹⁰⁾ solicitadas pelos usuários externos.

Célio Cardoso GUIMARÃES apresenta o seguinte conceito:⁽¹¹⁾

...sistemas operacionais são simplesmente uma coleção de programas inteiramente análogos aos de um programa do usuário [aplicativo], isto é, [são] uma seqüência de instruções executadas pelo(s) mesmo(s) processador(es) que executa(m) as instruções do programa do usuário [aplicativo]; é verdade que algumas dessas instruções não são, em geral, acessíveis ao usuário comum... mas a característica fundamental [do sistema operacional] permanece, que é a de software⁽¹²⁾ sobreposto funcionalmente ao hardware⁽¹³⁾.

GUIMARÃES diz que o "sistema operacional é uma extensão ou vestimenta do hardware que torna o trabalho do programador mais eficiente menos sujeito a erros".⁽¹⁴⁾

Visto o conceito de sistema de computador, pode-se enumerar agora as suas principais funções:

a) apresentar ao usuário uma máquina mais flexível e adequada para programar do que aquela que o hardware nu apresenta... ele [o sistema operacional] torna a comunicação do homem com a máquina mais natural e inteligível.

b) possibilitar o uso eficiente e controlado dos vários componentes de hardware que constituem o sistema como um todo: processador, memória principal e secundária, canais de Entrada/Saída, controladores, periféricos, etc.

c) possibilitar a diversos usuários o uso compartilhado e protegido dos diversos componentes de hardware e de software do sistema de modo que o sistema seja utilizado de maneira mais eficiente e que usuários possam se beneficiar do trabalho de outros e cooperarem entre si na execução de projetos complexos.⁽¹⁵⁾

Existem vários sistemas operacionais, diferindo uns dos outros pelo principal tipo de serviços que eles proporcionam aos usuários. GUIMARÃES afronta os três tipos mais recorrentes, que serão sucintamente explicados a seguir.

O primeiro modelo apresentado são os sistemas do tipo lote (batch), nos quais as tarefas dos usuários são agrupadas fisicamente e processadas seqüencialmente uma após a outra. Nesse tipo de sistema, os tempos de respostas podem ser de várias horas ou mesmo dias, o que atrasa a produtividade e contribui muito para o programador desistir de seu trabalho, pois ele tem que esperar um ciclo completo para muitas vezes verificar que uma vírgula foi esquecida ou um nome foi escrito incorretamente.⁽¹⁶⁾

Após uma conscientização gradual da necessidade de aumentar a produtividade do programador, foram desenvolvidos os sistemas de tempo repartido (time-sharing). Um desses primeiros sistemas, o CTSS do MIT (1962), teve um grande impacto na comunidade de usuários. Neles, o usuário trabalha em um terminal de Entrada/Saída do tipo vídeo e pode interagir com o sistema em cada fase de execução de sua tarefa. Cada comando do usuário é interpretado e executado em seguida. O usuário prepara os seus programas no próprio terminal através de um editor de texto, compila-os, executa-os e após verificar a correção dos resultados comanda a impressão dos mesmos e dos programas que desejar. Se houver algum erro, o sistema indica ao usuário através da tela do vídeo e ele poderá fazer as devidas alterações pelo editor de texto e repetir o procedimento.⁽¹⁷⁾

O terceiro modelo de sistema apresentado por Célio Cardoso GUIMARÃES são os sistemas de tempo real. Esses sistemas são voltados para aplicações de medição e controle que exigem o monitoramento contínuo, pois suas tarefas devem ser respondidas em um intervalo de tempo prefixado, após o qual haverá perda de informação, operação incorreta e, até mesmo, resultados catastróficos para o aparelho. Em geral, os sistemas de tempo real admitem a monitoração simultânea de várias atividades, apresentando em comum com os sistemas de tempo repartido a capacidade de compartilhar os vários recursos do sistema entre processos computacionais distintos. Ao contrário do que ocorre nos sistemas de tempo repartido, nesses sistemas, os tempos de execução dos processos computacionais e os intervalos de ativação dos mesmos são conhecidos e podem ser previstos com relativa precisão. Muitos sistemas de tempo real são construídos para aplicações específicas, tais como controle de tráfego aéreo, sistemas de bolsa de valores, controle de refinarias etc.⁽¹⁸⁾

Percebe-se, então, que o sistema operacional, software essencial ao funcionamento do computador, permite um maior aproveitamento dos recursos físicos, denominados de hardware. O sistema operacional não funciona sem o hardware, nem este executa as tarefas se não estiver sob o controle de um sistema operacional.

Em uma análise menos superficial, pode-se dizer que o hardware compreende os dispositivos periféricos e os dispositivos internos. Estes são os elementos essenciais ao funcionamento do computador, eles estão presentes em todo e qualquer tipo de computador, são eles: unidade central de processamento (CPU); memória; circuito de entrada e saída, também chamado de placa mãe (é a placa principal do computador onde se encaixam o processador, a memória e as placas de expansão). Os dispositivos periféricos são aqueles que propiciam um incremento às funções do computador, não são essenciais ao funcionamento do mesmo, mas possibilitam um maior aproveitamento da máquina.⁽¹⁹⁾

Será considerado sistema de computador aquele conjunto de dispositivos e programas essenciais ao funcionamento de um computador. Desse modo, é pacífico entre os diversos autores que sistema de computador consiste em um complexo formado por hardware e software destinado à realização de determinada função. Sistema de computador é o conjunto indissociável formado pelo sistema operacional mais os dispositivos internos, ambos os elementos essenciais das categorias hardware e software respectivamente.

Feita a definição técnica, consultou-se algumas legislações em busca da definição de sistema de computador, pois através da definição técnica e das definições encontradas em leis estrangeiras, foi construído o conceito de sistema de computador satisfatório para esta pesquisa.

Consultando a legislação estrangeira, foi encontrada a definição de sistema de computador em uma convenção elaborada pelos Estados signatários do Conselho da Europa (Council of Europe). A definição encontra-se no artigo primeiro do Draft Convention on Cybercrime: "sistema de computador é um dispositivo⁽²⁰⁾ ou um conjunto de dispositivos interconectados, que executam o processamento automático de dados (ou qualquer outra função) de acordo com os comandos de um programa".⁽²¹⁾

Foi encontrada definição semelhante na legislação portuguesa na Lei nº 10/91 de 29 de abril: "sistema informático - o conjunto constituído por um ou mais computadores, equipamento periférico e suporte lógico que assegura o processamento de dados".⁽²²⁾

Percebe-se que essas definições são bem mais amplas, não se atendo às partes essenciais do sistema de computador (sistema operacional e dispositivos internos). Tal amplitude é justificável por razões práticas, pois quis o legislador não somente proteger as partes principais de um sistema de computador. O legislador, ao dizer que o sistema de computador é um conjunto de dispositivos interconectados, assim o faz para proteger a lesão a qualquer parte do sistema de computador, não se limitando às partes essenciais ao funcionamento do mesmo, pois como veremos em seguida, podem ocorrer danos ao sistema de computador sem que o funcionamento do mesmo seja comprometido.

4.SISTEMA DE COMPUTADOR: UM BEM JURÍDICO

Visto o conceito de sistema de computador, cabe agora verificar se o mesmo é um bem jurídico, devendo assim receber proteção jurídica. Bem jurídico, segundo WELZEL, "é um bem vital ou individual que, devido ao seu significado social, é juridicamente protegido".⁽²³⁾ CAIO MARIO, por seu turno, já define bens jurídicos como sendo, primeiramente, aqueles de natureza patrimonial, que possuem valor econômico apreciável, em outras palavras, tudo aquilo que tem valor econômico e que integre o patrimônio de uma pessoa é considerado bem jurídico. Adverte, entretanto que não só os bens de natureza patrimonial são bens jurídicos, há também aqueles que, "mesmo não integrando o patrimônio do sujeito, são suscetíveis de proteção legal".⁽²⁴⁾

Percebe-se então que ambas as definições não são excludentes. A de WELZEL é mais ampla, apelando para o "significado social". Todo bem que possua "significado social" é protegido pelo Direito. Já CAIO MÁRIO tenta imprimir uma classificação com critérios objetivos, patrimonialidade ou não do bem. Se tiver caráter patrimonial, é considerado bem jurídico. Se não tiver, pode ser que seja considerado bem jurídico. Esta última categoria acaba por deixar a classificação de Caio Mário tão subjetiva quanto a de Welzel. O que não é problema, pois como afirmou ASSIS TOLEDO: "Bem jurídico é, pois, toda situação social desejada que o direito quer garantir contra lesões".⁽²⁵⁾

Resta agora saber se o sistema de computador possui "significado social", nas palavras de Welzel, demandando proteção legal. Como é sabido, a Internet, grosso modo, é uma interligação entre sistemas de computadores. Antes do advento da Internet é óbvio que existiam os sistemas de computadores, no entanto, não havia possibilidade de comunicação de um sistema com o outro. Nesse sentido, é elucidativa a explicação de RAMONET:

Se as origens da rede remontam ao fim dos anos 60, seu verdadeiro nascimento data de 1974 quando, respondendo a um desejo do Pentágono, Vint Cerf, professor da universidade da Califórnia, em Los Angeles, aprimorou a norma comum que permitiu conectar todos os computadores e lhe deu um nome: Internet. Vint Cerf tinha descoberto que os computadores, assim como os homens, são gregários; além disso, nunca são tão eficazes a não ser quando estão conectados a outros computadores.⁽²⁶⁾

RAMONET diz ainda que a Internet só se desenvolveu maciçamente com o aprimoramento do World Wide Web pelos pesquisadores do CERN em Genebra. O Web, baseado em uma concepção de hipertexto, transformou a Internet num ambiente mais acessível ao usuário sem conhecimentos profundos em informática. Com o desenvolvimento do Web, tornou-se possível que qualquer pessoa leiga navegar pela Internet. "Graças ao Web, duplica todos os anos o número de computadores conectados no mundo e, de três em três meses, o número de sites Web. (...) O tempo passado diante de uma tela de computador será superior, nos países desenvolvidos, ao tempo passado diante da tela da televisão".⁽²⁷⁾

Fez-se esse breve histórico da Internet para mostrar a importância dos sistemas de computadores interligados para a sociedade contemporânea. Com a interligação dos sistemas, vários tipos de serviços passaram a serem prestados pela Internet, várias informações passaram a ser disponibilizadas na Web. Essa interligação de computadores (ou sistema de computadores) ampliou significativamente o leque de funções que um computador isolado poderia oferecer. Surge então uma nova necessidade: a proteção daquilo que possibilita toda essa teia de informações e serviços. Faz-se mister, nesse panorama, que se garanta proteção jurídica do sistema de computador, pois é evidente a importância do mesmo para a sociedade contemporânea e, com o advento da Internet, esse bem jurídico ficou mais exposto a ataques.

Começa-se a falar então na proteção da integridade e disponibilidade do sistema. A integridade do sistema consiste em o mesmo não ser alterado por pessoas que não estejam autorizadas. Disponibilidade, por seu turno, é a característica de o sistema sempre estar disponível para que sejam realizadas as funções para as quais ele fora planejado.

Conclui-se, dessa forma, que com o surgimento da Internet o "significado social" do sistema de computador foi ampliado, tendo ele várias utilidades para a sociedade contemporânea. Cogita-se agora na proteção da integridade e disponibilidade dos sistemas de computador.

O próximo tópico deste artigo mostrará as condutas levantadas que reiteradamente têm colocado em ameaça a integridade e disponibilidade dos sistemas de computador.

5.CONDUTAS LESIVAS AOS SISTEMAS DE COMPUTADORES: RELATO DE CASOS⁽²⁸⁾

a)Acesso não-autorizado a sistemas de computadores

Em linha geral, o acesso não-autorizado ao sistema pode ser praticado de duas formas: com a utilização de senhas que dêem acesso ao sistema e também através das falhas do sistema. O acesso através da utilização de senha pode ocorrer quando um funcionário de uma empresa, e. g., revela sua senha a um terceiro e este acessa indevidamente o sistema da mesma. Outro caso de acesso não-autorizado por senha cadastrada no sistema se dá quando, por exemplo, um funcionário de uma empresa é demitido e o seu cadastro ainda permanece no banco de dados da mesma. Como será relatado a seguir, este funcionário ainda com acesso, por vingança, pode danificar o sistema da mesma causando prejuízos. Há também o acesso através de falhas dos sistemas, são as conhecidas "invasões" praticadas pelos hackers.⁽²⁹⁾ Vale ressaltar que esta pesquisa trata apenas de analisar condutas lesivas ao sistema de computador em si, não importando, portanto, se com o acesso não-autorizado viola-se a privacidade, por exemplo. Aqui serão analisadas tão somente as condutas que lesionam ou que potencialmente podem lesionar o sistema de computador, impedindo ou dificultando que ele realize a tarefa para a qual fora destinado.

Hipótese 1

Trata-se de acesso não-autorizado obtido com a utilização de senha cadastrada no sistema. Ocorreu em outubro do ano passado. Patrick McKenna, que trabalhava para a empresa Bricsnet, foi demitido em 20 de outubro de 2000. A empresa, por descuido, não cancelou o cadastro do funcionário no sistema. Dessa forma, ele ainda podia ter acesso ao sistema como se ainda fosse funcionário. No mesmo dia em que fora demitido, McKenna acessou remotamente, via Internet, o sistema da empresa.⁽³⁰⁾

Ao acessar os computadores da empresa, este funcionário poderia ter apagado dados essenciais ao funcionamento do sistema, causando prejuízos consideráveis para a mesma (ameaça à integridade do sistema). Outra atitude que poderia ter ocorrido seria a utilização dos recursos daquele sistema para benefícios pessoais, como, por exemplo hospedar um site (ameaça à disponibilidade do sistema). Neste caso de acesso não-autorizado, o que é relevante é a potencialidade de danos à integridade e disponibilidade dos sistemas acessados, pois o indivíduo não estava autorizado e, mesmo sem permissão, acessou aquele sistema.

Hipótese 2

O segundo caso diz respeito à ação hacker, às pessoas que buscam falhas nos sistemas e, por esses "buracos", passam a ter o controle do mesmo. Há vários casos, os mais comuns são as invasões aos sites.⁽³¹⁾ Os hackers invadem o sistema em que o site está hospedado e faz uma modificação apenas no texto do site. É como se fosse um aviso para os administradores do site que o sistema dele está com falhas. A alteração não é dos arquivos de funcionamento do sistema, mas sim de arquivos HTML, por exemplo, apenas indicando que eles "estiveram lá", servindo também para mostrar que a integridade e disponibilidade daquele sistema estavam ameaçadas.

Um caso recente que merece ser citado foi a invasão da página oficial da Câmara de Gestão da Crise de Energia (GCE)⁽³²⁾. O hacker "Darko - ph4z3n" invadiu o sistema que hospedava o site retirou todos os serviços do ar e ainda deixou as seguintes mensagens: "Ainda bem que nós estamos `aki´ antes do apagão, né..."; "Esse plano de economia deveria ser revisto".⁽³³⁾ Não obstante ter retirado os serviços do ar, o hacker não danificou o sistema, pois apenas alterou o conteúdo da página. No entanto, o fato de ter alterado o conteúdo, mostra que ele poderia ter danificado os arquivos de sistema, causando assim prejuízos ainda maiores. O mesmo ocorreu com os sites do STF e ANEEL⁽³⁴⁾, que foram invadidos como forma de protesto contra o racionamento de energia.

O importante, neste tipo de invasão, é o potencial que os hackers têm de afetar a integridade e disponibilidade dos sistemas de computadores. Eles poderiam ter danificado arquivos de sistema, no entanto, apenas colocaram em risco a integridade e disponibilidade do sistema de hospedagem do site.

b)Utilização dos recursos do sistema indevidamente

Têm-se aqui casos que afetam diretamente a disponibilidade do sistema. Disponibilidade do sistema significa o mesmo estar disponível para realizar as tarefas para o qual fora concebido. Serão apresentados, aqui, dois casos exemplificativos.

Hipótese 1

Os principais casos deste tipo de conduta ocorrem com os chamados ataques DoS (denial of service). De forma simplificada, nestes tipos de ataque, o hacker através de um microcomputador, controla vários outros computadores (que previamente foram infectados com um tipo específico de vírus). No controle desses "computadores-zumbi", os hackers começam bombardear o provedor ou servidor alvo. Este provedor/servidor, ao receber essa quantidade excessiva de mensagens, "cai", ficando fora do ar. Nestes casos, o sistema de computador não chega a ser danificado, mas é utilizado de maneira exaustiva, ficando assim fora de serviço ou extremamente lento. Ou seja, utilizam-se os recursos do sistema de maneira excessiva, impedindo que ele seja executado para as finalidades para as quais fora concebido.

Um caso que merece ser citado foi o ataque feito por um grupo hacker ao site da Casa Branca: "Os invasores enviaram uma grande quantidade de dados para o site, provocando uma sobrecarga. Dessa forma, as páginas da Casa Branca ficaram inacessíveis por cerca de seis horas. Segundo oficiais, o conteúdo do site não foi danificado nem alterado".⁽³⁵⁾ Esse tipo de ataque, como se pode perceber, não prejudica a integridade do sistema, apenas faz com que ele não esteja disponível para a realização da tarefa para a qual ele fora programado. Em outras palavras, ataques DoS afetam a disponibilidade do sistema.

Hipótese 2

Outra hipótese possível, porém não muito divulgada, talvez por seu pequeno potencial lesivo, se comparada com as outras, ocorre quando algum hacker invade um sistema ou utiliza uma senha de terceiro para acessá-lo e, a partir desse acesso não-autorizado, desvia os recursos dos sistemas para a realização de atividades sem ter pagado ou ter sido autorizado para usufruir as mesmas.

Vários casos são açambarcados por essa hipótese. Ocorrem casos de hackers que invadem o sistema de provedor e, tendo o controle dos recursos, instalam servidores de IRC.⁽³⁶⁾ Há casos também de hackers que utilizam os recursos do provedor invadido para armazenar arquivos de seu interesse. Em outros, o hacker utiliza senhas indevidas para ter acesso à Internet, ou seja, ele não paga por esse serviço, no entanto, utiliza-se dele. Como já foi dito, aqui cabem vários casos de utilização indevida dos recursos do sistema. No entanto, esses casos são menos graves que os advindos de ataques DoS, pois nestes a indisponibilidade do sistema chega a ser máxima. Já, nestes apresentados nesta seção, a disponibilidade é reduzida, mas o sistema ainda continuar funcionando, continua "no ar".

c)Alteração ou destruição de dados essenciais ao funcionamento do sistema

Tratam-se aqui de hipóteses nas quais a pessoa já possui acesso autorizado ao sistema e dolosamente o danifica ou ainda de hackers que invadem o sistema e depois o danifica. Cabe nesta conduta a ação dos vírus de computador, que danificam arquivos essenciais ao sistema Essas condutas afetam diretamente a integridade do sistema, fazendo-o funcionar de forma indevida ou ainda levando à sua total perda.

Hipótese 1

O caso que será apresentado não foi praticado por hacker, foi fruto de uma perícia para testar a segurança dos sistemas telefônicos de São Paulo, nada obstante, serve perfeitamente para ilustrar um caso de acesso não autorizado seguido de destruição de dados essenciais ao funcionamento do sistema.

O laudo produzido pelo Instituto de Criminalística, órgão da Secretaria da Segurança Pública de São Paulo, concluiu que qualquer pessoa munida de um computador pessoal, modem e um bom conhecimento em informática poderia tirar do ar os sistemas telefônicos paulista e carioca, deixando sem comunicação alguns milhões de pessoas e empresas que utilizam as linhas para transmitir dados. O hacker poderia excluir dados ou mesmo impedir o funcionamento de todo o sistema de telefonia. Na simulação da invasão, o perito conseguiu, depois de algumas tentativas, invadir os computadores centrais das duas empresas, sem que elas se dessem conta. A principal causa da fragilidade desses sistemas estaria na falta de pessoal qualificado para tratar do assunto, aliada ao desconhecimento propriamente dito dos riscos que seus sistemas de informática estão correndo. Além disso, há o fato de os hackers estarem sempre se atualizando e estudando as chaves que permitem invadir os computadores alheios. "A verdade é que não existe nenhum sistema de computação completamente inexpugnável. Mesmo as redes militares americanas já sofreram ataques de hackers. Mas também é certo que existem meios de aumentar a segurança dessas redes", diz Ivan Moura CAMPOS.⁽³⁷⁾

Este caso mostra indubitavelmente que se fosse um hacker que tivesse invadido o sistema de telefonia, ele poderia ter simplesmente destroçado tal sistema, causando prejuízos incalculáveis. Vê-se que aqui a agressão é direta contra a integridade do sistema que, por via reflexa, também ocasiona a indisponibilidade do mesmo.

Hipótese 2

Outro caso de destruição ou alteração de sistema pode ser praticado por funcionário que tenha a senha e dolosamente lesiona o sistema afetando sua integridade. As estatísticas desse tipo de conduta são altas, uma pesquisa da Modulo Security Solutions constatou que 35% das invasões a sistemas de computadores são praticadas por funcionários da própria empresa. Aqui o dano se dá por ato de quem estar autorizado a acessar o sistema.

Hipótese 3

Uma terceira hipótese que pode ser citada é a destruição de dados essenciais ao funcionamento pelos chamados vírus de computador. Os vírus podem danificar o sistema, lesando a integridade do mesmo. Há vários tipos de vírus, com as mais diversas finalidades, no entanto, só interessa para esta pesquisa aqueles que danificam o sistema.

Um caso que pode ser citado é o recente vírus O EIC.Trojan, um programa DOS (de apenas 68 bytes) que corrompe o setor de inicialização do disco rígido (HD), tornando impossível a partida do sistema. Para escapar à vigilância dos antivírus, o trojan é programado com código similar aos dos arquivos Standard Antivirus Test File (Eicar), que são testes-padrão para identificar a presença de vírus no computador. Além de danificar o setor de boot do disco, o vírus também pode programar outros setores do HD, destruindo pastas e arquivos. Nas máquinas contaminadas, talvez seja possível recuperar o sistema, mediante a reconstrução do setor de boot. No entanto, a programação em outras partes do disco pode também levar à destruição do sistema. Nesse caso não há outra alternativa senão formatar o HD e reinstalar o Windows.⁽³⁸⁾

d)Produzir ou disseminar vírus de computador

A produção de um vírus de computador é uma ameaça à integridade do sistema. A pessoa, ao produzir um vírus de computador, cria potencialmente a possibilidade de se destruir um sistema de computador. "Disseminar", por seu turno, ocorre quando uma pessoa, embora não tenha fabricado um vírus, passa-o a outras pessoas. Tal conduta também se caracteriza pela potencialidade de dano aos sistemas de computadores.

O caso do vírus I Love You é exemplificativo. O estudante filipino Onel de Guzman criou o vírus e este se espalhou pela Internet por acidente. No entanto, nada obstante ele apenas ter criado o vírus, sem intenção de espalhá-lo pela Internet, pode-se dizer que a conduta dele, ao criar um vírus era potencialmente lesiva, o que se concretizou com a disseminação do mesmo pela Internet.

6.MODELO DAS CONDUTAS LESIVAS AOS SISTEMAS DE COMPUTADORES

Vistos os casos de condutas lesivas aos sistemas de computadores, procedeu-se à elaboração de um modelo que englobasse todas essas condutas relatadas, lembrando que todas são praticadas por meio das redes integradas de computadores, são elas:

a)Acessar, sem estar previamente autorizado, sistema de computador;

b)Utilizar os recursos do sistema de computador indevidamente ou para finalidade diversa;

c)Alterar ou apagar dados essenciais ao normal funcionamento do sistema de computador;

d)Criar ou disseminar vírus de computador.

Percebe-se, então, que este modelo açambarca todas as hipóteses citadas. Finda esta etapa da pesquisa, procedeu-se à busca de dispositivos legais que tipificassem cada uma dessas condutas.

7.DISPOSITIVOS LEGAIS CORRELACIONADOS ÀS CONDUTAS LEVANTADAS

Esta parte do trabalho mostrará os dispositivos legais (presentes em leis, projetos de lei e anteprojetos) encontrados e que de alguma forma estão correlacionados com as condutas, não significando que eles necessariamente serão aplicados a elas. Ao final desta etapa, já será possível verificar se os tipos penais existentes no ordenamento jurídico brasileiro são suficientes para se garantir proteção legal ao sistema de computador.

a)Acessar, sem estar previamente autorizado, sistema de computador

Encontrou-se tal conduta prevista em alguns projetos de lei. O primeiro que pode ser citado é o Projeto n. 2.558 do Alberto Fraga. Estabelece tal projeto que se acrescente o art. 151-A ao Código Penal, in verbis:

Art. 151-A – Violar indevidamente o conteúdo de banco de dados eletrônico, ou interceptar comunicação fechada em rede de comunicação eletrônica. (grifei)

Da análise de tal dispositivo, depreende-se que o tipo não se refere propriamente ao acesso não-autorizado. Ele fala em "interceptar comunicação" que se dá, por seu turno, através do acesso não-autorizado ao sistema de computador. Vale ressaltar ainda que este dispositivo foi inserido dentro da seção "dos crimes contra a inviolabilidade de correspondência", ficando indevidamente localizado.

Outro dispositivo correlato foi encontrado no Projeto de Lei n. 84/99 do Deputado Luiz Piauhylino:

Art. 9º - Obter acesso, indevido ou não autorizado, a computador ou rede de computadores.

Pena: detenção, de seis meses a um ano, e multa.

§ 1º Na mesma pena incorre quem, sem autorização ou indevidamente, obtém, mantém ou fornece a terceiro qualquer meio de identificação ou acesso a computador ou rede de computadores.

§ 2º Se o crime é cometido:

I – com acesso a computador ou rede de computadores da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos;

II – com o considerável prejuízo para a vítima;

III – com o intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;

IV – abuso de confiança;

V – por motivo inútil;

VI – com o uso indevido de senha ou processo de identificação de terceiro; ou

VII – com a utilização de qualquer outro meio fraudulento.

Pena: detenção, de um a dois anos, e multa.

Fica evidente que esse dispositivo é mais completo que o anterior, açambarcando diversas hipóteses.

Tal conduta também foi prevista no Projeto de Lei n. 1713 elaborado pelo Deputado Cássio Cunha Lima, em 1996:

Art. 19. Obter acesso, indevidamente, a um sistema de computador ou a uma rede integrada de computadores:

Pena – detenção, de 6 (seis) meses a 1 (um) ano, e multa.

§ 1º - Se o acesso se faz por uso indevido de senha ou processo de identificação magnética de terceiro:

Pena – detenção, de 1 (um) ano a 2 (dois) anos, e multa.

§ 2º - Se, além disso, resulta prejuízo econômico para o titular:

Pena – detenção, de 1 (um) ano a 3 (três) anos, e multa.

§ 3º - Se o acesso tem por escopo causar dano à outrem ou obter vantagem indevida:

Pena – detenção, de 2 (dois) ano a 4 (quatro) anos, e multa.

Retirado de http://www1.jus.com.br/doutrina/texto.asp?id=2813