Golpes pela internet têm penas ampliadas para até 8 anos de prisão; entenda a nova lei
Uma lei publicada em maio de 2021 no Diário Oficial endurece as penas para crimes cometidos por meio eletrônico. Agora, existem agravantes específicos para ações cibernéticas: estelionato que envolve o roubo de contas de WhatsApp, por exemplo, pode gerar penas de até oito anos de prisão – três anos a mais do que a pena base desse tipo de delito.
Com a nova redação, o crime de invasão, como a instalação de aplicativos espiões e malwares, passou a ser mais abrangente. Antes, certas condutas criminosas, incluindo a cópia de dados abertos, não poderiam ser enquadradas nesse artigo.
Com o aumento da pena nesse crime, também vai ficar mais difícil obter penas alternativas, que são empregadas para sentenças de até quatro anos. Agora, o crime de invasão pode ser punido com até cinco anos de reclusão.
Criadores de programas de invasão também podem ser enquadrados nesse crime – o que torna o aumento da pena especialmente relevante para punir quem atua como fornecedor e evita atuar diretamente.
Houve ainda adição de um agravante para quem utiliza computadores fora do território nacional – uma tática muito usada por criminosos para dificultar o trabalho da polícia.
Como parte da redação é nova, a aplicação da lei na prática dependerá das decisões da Justiça e das interpretações baseadas nos casos concretos que chegarem aos tribunais.
Mesmo assim, o blog arriscou uma análise do texto para apontar como as mudanças deixam a lei pelo menos mais próxima das práticas diárias do crime cibernético.
Fraude eletrônica prevê golpes por redes sociais
O crime de estelionato, o "171", ganhou uma redação exclusiva para fraudes em que foi empregado algum meio eletrônico de contato. A pena pode chegar a oito anos.
O texto prevê o enquadramento de fraude "cometida com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo".
Na prática, o roubo de contas de WhatsApp, por exemplo, em que a vítima é induzida a fornecer seu código de autorização, poderia ser enquadrado neste artigo.
O "correio eletrônico fraudulento", por sua vez, é o "golpe de phishing". Essa fraude é muito utilizada no Brasil: criminosos enviam mensagens falsas em nome de bancos e outras instituições (inclusive a própria polícia) para convencer a vítima a ceder informações ou baixar um ladrão de senhas para o computador.
Invasão não exige mais 'violação de segurança'
O crime de "invasão de dispositivo informático" foi criado em 2012. A lei previa uma pena de até um ano, podendo chegar a dois anos caso o invasor roubasse o conteúdo de comunicações, informações sigilosas ou instalasse um software de controle remoto.
Porém, a lei só podia ser aplicada "mediante violação indevida de mecanismo de segurança". Esse trecho foi removido da nova redação. Agora, basta que o invasor não tenha "autorização tácita" do usuário do dispositivo ao obter, alterar ou destruir dados.
Em tese, isso significa que "invasores de ocasião" – pessoas que se aproveitam de algum descuido e pegam o celular sem o bloqueio de tela ativo, por exemplo – poderiam ser enquadrados nesse crime.
Outra conduta que criminosa que não envolve a violação de mecanismo de segurança é a extração de dados abertos. Quando empresas ou organizações esquecem de configurar uma senha em um banco de dados ou serviço de armazenamento, não há mecanismo de segurança em funcionamento.
Hackers utilizam programas de varredura para encontrar esses sistemas abertos e simplesmente copiar a informação – mesmo sem ter qualquer autorização para isso.
Com a nova redação, essa prática não parece mais estar fora do alcance da lei.
A pena básica para esse crime foi quadruplicada: a menor, de três meses, passa a ser de um ano, e a maior, que era de um ano, agora é de quatro anos. A pena exclusiva para casos de roubo de comunicações e software de controle remoto, por sua vez, é de até cinco anos (era de dois anos).
Como a maioria das invasões criminosas utiliza um software de controle remoto, invasores agora podem ser punidos em até cinco anos mesmo que a polícia não consiga denunciá-los por outras atividades criminosas realizadas com a invasão.
A lei de invasão também se aplica aos criadores de pragas digitais. Como eles podem faturar vendendo ou alugando códigos maliciosos, evitando praticar outros crimes, o endurecimento das penas no crime de invasão afeta diretamente essa atividade.
Furto eletrônico e uso de servidor estrangeiro
A lei também ampliou o crime de furto qualificado com um trecho específico para ações praticadas com o uso de dispositivos eletrônicos ou de informática.
Para a lei, não importa se foi utilizado um programa malicioso ou mesmo se o computador está conectado à rede – o agravante de dispositivo eletrônico ainda pode ser aplicado.
O uso de um servidor estrangeiro – uma prática comum para diminuir vestígios e dificultar a investigação – pode aumentar a pena em até dois terços. Como a pena regular é de até oito anos, a pena máxima passa dos dez anos.
Essa redação mostra que as condutas foram tipificadas em alinhamento com os métodos empregados pelos criminosos para despistar as autoridades.
O texto ainda especifica que o agravante para dispositivo informático pode ser aplicado mesmo não havendo violação de mecanismo de segurança – em alusão ao trecho removido do crime de invasão.
Com essa redação, é possível que o crime de furto eletrônico possa enquadrar transferências bancárias não autorizadas.