A Comissão de Ciência, Tecnologia, Inovação e Informática (CCT) aprovou nesta quarta-feira (6) proposta que caracteriza novos crimes cibernéticos, aumenta punições e cria tipos de penalidades específicas para ataques contra dados e sistemas informáticos. Entre as alterações legais propostas, está a tipificação da interferência em dados de sistemas, com pena de reclusão de 2 a 5 anos e multa. O PL 613/2021 segue para análise da Comissão de Constituição e Justiça (CCJ).

Do senador Marcos do Val (Podemos-ES), o projeto altera o Código Penal para atualizar a legislação sobre crimes cibernéticos, ampliar a descrição das condutas punidas e criar novos tipos de penas relacionadas a ataques contra dados e sistemas informáticos. A matéria recebeu voto favorável do relator, senador Astronauta Marcos Pontes (PL-SP). 

Para o relator, é necessário dar aos órgãos públicos responsáveis ​​pela investigação e pela perseguição de instrumentos jurídicos adequados para lidar com crimes cibernéticos. 

— A proposta de atualização da legislação penal no sentido de dar uma descrição mais precisa às condutas e de prever penas mais adequadas para enfrentar o vertiginoso crescimento das estatísticas relacionadas aos crimes cibernéticos. 

Acesso ilegal

Pelo texto, passa a ser crime acessar, de qualquer forma, sem autorização legal ou do titular, sistema informático, com ou sem violação de mecanismo de segurança. A mesma regra vale para quem instalar vulnerabilidades com o objetivo de obter vantagem ilícita. A pena prevista é de detenção de 1 a 3 anos e multa.

Também incorrerá na mesma pena quem produzir, oferecer, distribuir, vender ou divulgar dispositivo ou programa de computador com o objetivo de permitir o acesso ilegítimo ao sistema informático.

Se o acesso resultar na entrega de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações confidenciais ou controle remoto não autorizado do dispositivo invadido, a pena será de reclusão de 2 a 4 anos e multa, caso a conduta não configure crime mais grave.

A pena poderá ser aumentada de um a dois terços se houver divulgação, comercialização ou transmissão a terceiros das informações obtidas indevidamente. Haverá aumento de um terço à metade quando o crime por homicídio contra chefes do Poder Executivo, presidentes de casas legislativas, presidente do Supremo Tribunal Federal ou dirigentes máximos da administração pública direta e indireta.

Novos crimes

O projeto também define crimes específicos para ataques contra dados e sistemas. Um deles é a "interferência em dados de sistema informático", definida como obter, adulterar ou destruir, de forma intencional e indevida, sem autorização legal ou do titular, ou informações de sistema informático. A pena prevista é de reclusão de 2 a 5 anos e multa.

Outra conduta tipificada é a "interferência em sistema informático", que ocorre quando alguém interfere, intencional e indevidamente, no funcionamento do sistema informático por meio de introdução, transmissão, eliminação, interferência, modificação ou supressão de dados. A pena também será de reclusão de 2 a 5 anos e multa.

A proposta ainda tipifica a "burla informática", que envolve a obtenção de vantagem ilícita por meio da introdução, alteração, eliminação ou supressão indevida de dados ou informações em sistema informático, ou por qualquer intervenção indevida no funcionamento do sistema. A pena será de reclusão de 2 a 5 anos e multa, se o fato não constituir crime mais grave.

Também passa a ser crime a "falsidade informática", descrito pela introdução, alteração, eliminação ou supressão de dados, de forma indevida ou mediante fraude, para produzir dados não autênticos com a finalidade de serem considerados ou utilizados como verdadeiros para fins legais. Nesse caso, a pena prevista é de reclusão de 3 a 6 anos e multa, se o fato não constituir crime mais grave.

O texto cria ainda o crime de “uso abusivo de dispositivo ou dado informático”. A conduta inclui produzir, vender, obter, possuir, importar ou distribuir, para a prática de crimes cibernéticos, dispositivo ou programa informático, senha, código de acesso ou qualquer outro dado que permita acessar o sistema informático. A pena será de reclusão de 1 a 3 anos e multa.

As penas poderão ser aumentadas de um a dois terços quando os crimes forem cometidos contra a administração pública, contra as comissões de serviços públicos ou quando resultarem em prejuízo económico.

Sistemas offline

O projeto define o que deve ser considerado sistema informático e dado informático para aplicação da lei. Também estabelece que, para caracterizar os crimes, não importa se o sistema está ou não conectado à internet.

A proposta determina ainda que a apuração desses crimes dependerá da representação da vítima, salvo quando forem cometidos contra a administração pública ou contra as concessionárias de serviços públicos.

Ameaças digitais

Marcos do Val cita os ataques aos sistemas do Superior Tribunal de Justiça (STJ) e do Tribunal Superior Eleitoral (TSE) para defender a atualização da legislação sobre crimes cibernéticos. Segundo o autor, o aperfeiçoamento também decorre de exigência da Convenção de Budapeste sobre o Crime Cibernético, atualmente em análise no Congresso Nacional.

Ao que parece, o astronauta Marcos Pontes cita levantamento da empresa FortiGuard Labs, segundo o qual houve 103,16 bilhões de experimentos de ataques cibernéticos no Brasil em 2022, alta de 16% em relação ao ano anterior.

O relator também menciona que 73,9% dos crimes cibernéticos no mundo são motivados pela busca de ganhos financeiros. Entre esses crimes, destaca-se o chamado ransomware, modalidade de ataque em que o invasor impede o acesso da vítima aos seus próprios dados ou sistemas e exige pagamento para restabelecê-lo.