Crimes da Informações Internet

Prévia do material em texto

RICARDO REIS GOMES
 CRIMES PUROS DE INFORMÁTICA
Monografia apresentada como requisito
para conclusão do curso de bacharelado
em Direito do Centro Universitário de
Brasília.
Orientadora: Eneida Orbage de Brito
Taquari
 BRASÍLIA
2001
 “Há leis em demasia e ultrapassadas para antigas demandas; e escassas, ou
inexistentes, para demandas novas, como os chamados crimes informáticos”.
 
Celso Mello, Ministro do STF
O presente trabalho é dedicado a Deus.
 Agradeço ao meu pai, minha mãe, minha irmã, tia Mônica, Gabriela, Lucas e ao
meu amor, Raquel, por todo amor e carinho e dedicação que foram fundamentais para a
conclusão desta obra.
Resumo
Os crimes de informática estão se tornando uma constante em nossa
sociedade, sendo praticados a todos os instantes. A população, perplexa, espera a criação de
leis para que se possa coibir o aumento assustador deste delito que é perpetrado a distancia,
sem contato e sem violência mas que causa prejuízos inestimáveis. O legislador pátrio já
aceitou o desafio e vem discutindo o assunto e apresentando projetos de lei os quais esperam
a aprovação nas casas legislativas. Baseado em pesquisas brasileiras o presente trabalho
detectou os principais causadores de problemas com segurança da informação no país e
traçou um paralelo com o projeto de lei 84/99 que tem como escopo a tipificação dos crimes
de informática para verificar se o referido projeto abarca as reais necessidades da sociedade
da informação que elegeu novos bens jurídicos que merecem a proteção do Direito Penal.
Sumário
1.0 - Introdução..................................................................................................................1
2.0 - Desenvolvimento
2.1 - Importância do tema.....................................................................................3.
2.2 - Necessidade de novas normas......................................................................4.
2.3 - Definição de crime puro de Informática.......................................................5.
2.4 - Distinção entre e crime comum e crime puro de informática......................8.
2.5 - Concurso entre crime puro e crime comum...............................................10.
2.6 - Quem é o criminoso de informática?..........................................................10.
2.7 – O que move os hackers?.............................................................................14
2.8 - Situação atual relativa aos crimes informáticos.........................................16.
2.8.1 - Qual o país sofreu o maior número de ataques?..........................16.
2.8.2 - Quantificação dos prejuízos sofridos devido a um ataque
2.8.2.a. Quantificação nos EUA..................................................15.
2.8.2.b. Quantificação no Brasil..................................................17.
2.8.3 - Quais as principais ameaças?.......................................................17.
2.8.4 - Investimentos em sistemas de segurança.....................................19.
2.8.5 - Providências tomadas após um ataque........................................21.
2.9 - Situação atual relativa à legislação vigente................................................21.
2.9.1 - Legislação aplicável aos crimes de informática no Brasil...........21.
2.9.2 - Projetos de lei em andamento no legislativo Brasileiro...............22.
2.9.3 - Política de segurança federal......................................................23.
2.10 - Análise do projeto de lei 84/99.................................................................25.
2.10.1 - Direito Comparado....................................................................25.
2.10.2 - Crimes puros previstos no Projeto de Lei 84/99
2.10.2.a - Artigo 8º......................................................................26.
2.10.3.b - Artigo 9º......................................................................27.
2.10.4.c - Artigo 9º, § 1º..............................................................28.
2.10.5.d - Artigo 10º ...................................................................28.
2.10.6.e - Artigo 11º....................................................................28.
2.10.7.f - Artigo 12º....................................................................29.
2.10.8.g - Artigo 13º....................................................................30.
2.10.9.h - Artigo 15º....................................................................31.
2.10.9.i - Críticas finais ao projeto 84/99....................................32.
3.0 - Conclusão...............................................................................................................33.
4.0 - Anexos....................................................................................................................35.
5.0 - Bibliografia.............................................................................................................44.
Tabela dos gráficos
Gráfico 00........................................................................................................................15
Gráfico 01........................................................................................................................16
Gráfico 02........................................................................................................................17
Gráfico 03........................................................................................................................19
Gráfico 04........................................................................................................................21
1 - Introdução.
O mundo vem assistindo uma verdadeira revolução devido à popularização dos micro-
computadores e da Internet. Atualmente, os usuários brasileiros da rede mundial de
computadores chegam a casa dos 10,4 milhões1.
A Internet é a forma de comunicação que ganhou o maior número de usuários em
menor tempo na história da humanidade. O telefone, que foi uma verdadeira revolução em
sua época, levou 70 anos para conquistar 50 milhões de usuários. Já a grande rede conseguiu
este número em apenas 5 anos2.
Apesar do crescimento vertiginoso da Internet em todo mundo, pouco se conhece
sobre os seus aspectos jurídicos sendo parcas as leis aplicáveis tornando a grande rede o local
ideal para o cometimento de um crime.
 A sociedade mundial clama pela intervenção do Direito para que se possa estabelecer
regras para a utilização saudável da Internet com proteção aos novos bens jurídicos como a
privacidade, a segurança do usuário, a confidencialidade, a integridade e a disponibilidade
das informações.
 
1 Fonte: IDG Now - 22 de maio de 2001.
Se os operadores do direito e legisladores continuarem procrastinando na busca de
uma proteção legal eficiente para os novos bens jurídicos eleitos pela sociedade moderna,
manchetes de jornais, como estas, continuarão a ser uma constante em nossas vidas.
“Senado americano alerta: Ataques virtuais podem devastar EUA”.3
“Chineses estão sendo instigados a hackear Estados Unidos”.4
“FBI confirma ataques chineses a sites dos EUA”.5
“Crackers roubam um milhão de números de cartões de crédito”.6
“Prejuízo causado por invasões cresceu 42% em 2000”.7
“Crackers roubam um milhão de números de cartões de crédito”.8
“Comerciante tenta destruir sistema de concorrente com vírus”.9
 
2 Fonte: Associação - Americana de Mídia.
3 Fonte: Computerworld – 14 de maio de 2000.
4 Fonte: Security Focus – 17 de abril de 2001.
5 Fonte: Yahoo News – 19 de abril de 2001.
6 Fonte: Bank TechnologyNews – 11 de abril de 2001.
7 Fonte: CNN – 12 Março, 2001
8 Fonte: Bank Technology News – 11 de abril, 2001
9 Fonte: Terra Informática – 17 de abril, 2001
2 – Desenvolvimento.
2.1 – Importância do tema.
Atualmente, o investimento em segurança das informações não é mais uma opção e
sim uma exigência da coletividade pois o vazamento de dados críticos pode causar prejuízos
de grande monta para toda a sociedade.
Até pouco tempo atrás o investimento em segurança das informações era uma opção
da empresa, pois não havia nenhuma exigência legal. Passado algum tempo, o investimento
passou a ser necessário pois proporcionava maior confiança dos consumidores nas empresas e
agregava valor aos produtos. Hoje, o investimento no setor de segurança das informações
passou a ser uma exigência legal porque a própria lei, em diversos diplomas, passou a exigir a
conservação de arquivos em formato digital. Como por exemplo:
O art. 11 da Lei nº 8.218, de 29 de agosto de 1991 determina que as pessoas jurídicas
que possuírem patrimônio líquido superior a Cr$ 250.000.000,00 e utilizam sistema de
processamento eletrônico de dados para registrar negócios e atividades econômicas, escriturar
livros ou elaborar documentos de natureza contábil ou fiscal ficarão obrigadas a manter, em
meio magnético ou assemelhado, à disposição do Departamento da Receita Federal, os
respectivos arquivos e sistemas durante o prazo de cinco anos. A inobservância poderá
acarretar multa de meio por cento do valor da receita bruta da pessoa jurídica no período ou
multa de cinco por cento sobre o valor da operação correspondente, aos que omitirem ou
prestarem incorretamente as informações solicitadas.
O Poder Judiciário também se vê obrigado a fazer investimentos em sistemas de
segurança das informações, pois segundo a Lei nº 10.259 de 12 de julho de 2001 (que dispõe
sobre a criação dos Juizados Especiais Federais), no seu art. 7o, § 2o, prescreve que os
tribunais poderão organizar serviço de intimação das partes e de recepção de petições por
meio eletrônico. E ainda a Lei nº 9.999/95 (que dispõe sobre a criação dos Juizados Especiais
em âmbito Estadual) no seu art. 13, § 3º, determina que os atos processuais não essenciais
poderão ser gravados em fita magnética, podendo ser desgravados para serem utilizados no
recurso inominado do art. 41 do referido diploma.
As empresas que trabalham com venda ao consumidor final também estão obrigadas a
aumentar seus investimentos em segurança da informação pois segundo o Código de Defesa
do Consumidor (Lei nº 8.078/90) art. 39, inciso VIII, é vedado ao fornecedor de produtos ou
serviços colocar no mercado de consumo qualquer produto ou serviço em desacordo com as
normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem,
pela Associação Brasileira de Normas Técnicas (ABNT). Atualmente já está em fase final a
norma brasileira sobre segurança da informação que está sendo editada pela ABNT e chamar-
se-á BS 7799 que é uma adaptação do preceito internacional ISO 17799-1.
Pela própria inteligência dos artigos supramencionados vê-se que o investimento em
segurança das informações é uma obrigação e todos aqueles que não se atêm a esta situação
poderão amargar grandes prejuízos.
2.2 – Necessidade de novas normas
Os tipos penais existentes em nosso ordenamento jurídico não são suficientes para
coibir os crimes praticados com o uso das novas tecnologias. Ademais, segundo o princípio
da anterioridade da lei penal - Não há crime sem lei anterior que o defina, nem pena sem
prévia cominação legal – que está petrificado no art. 5º, XXXIX, da CF 88, nos obriga a
fazer uma interpretação restritiva do tipo penal impossibilitando a sua aplicação a casos
análogos como é o caso da aplicação do crime de furto (art. 155 do Código Penal) ao crime
de furto de dados.
Marco Aurélio Rodrigues da Costa10, em sua pioneira monografia sustenta a
possibilidade de aplicação do art. 155 do CP ao crime de furto de dados, afirmando: “O bem
objeto de furto, além de ser alheio deve ser móvel.... Os dados armazenados, também são
coisa móvel...”
 A posição do ilustre advogado é passível de discordância por que o furto é um crime
material, onde há uma diminuição do patrimônio do sujeito passivo, em contra partida, um
aumento do patrimônio do sujeito ativo. Quando um arquivo é “furtado” de outro computador
não há uma diminuição patrimonial, pois o mesmo não é retirado da posse do sujeito passivo.
Na verdade, o arquivo é copiado por aquele que comete o ato, ficando o arquivo de origem na
posse do sujeito passivo. Além disso, a soma das partes é maior que o todo, portanto não há
uma subtração e por conseguinte não há o furto.
Com a finalidade de solucionar o problema de falta de lei específica para ser aplicada
ao caso concreto, quando se trata de crimes de informática, é que necessitamos de novos tipos
penais.
2.3 – Definição de crimes puros de Informática.
 Durante a pesquisa bibliográfica, notou-se que não há consenso na doutrina nacional
e na estrangeira sobre a definição do que seja crime de informática.
Wasik sustenta que “O crime de informática é um tópico difícil, onde não é fácil
haver consenso sobre a sua definição”11.
Parker e Nuncum definem o “crime de informática como qualquer outro ato ilegal,
onde um conhecimento especial de tecnologia de informática é essencial par a sua execução,
investigação e acusação”12.
Para Dotti “crime de informática puro é toda e qualquer conduta ilícita que tenha por
objetivo exclusivo o sistema de computador, seja pelo atentado físico ou técnico do
equipamento e seus componentes, inclusive dados e sistemas”13.
Para Neil Barret “Crimes digitais seriam todos aqueles relacionados às informações
arquivadas ou em trânsito por computadores, sendo esses dados acessados ilicitamente,
 
10 COSTA, Marco Aurélio, Crimes de Informática III. Retirado da Internet, Urugauiana – RS, 1989.
s/p.
11 LICKS, Otto Banho e JUNIOR, João Marcelo de Araújo. Aspectos penais dos crimes de informática
no
 Brasil. Revista dos tribunais Rio Grande do Sul, 1994. p. 94.
12 _____________________________________________. Aspectos penais dos crimes de informática
no
Brasil. Revista dos tribunais, Rio Grande do Sul, 1994. p. 94.
13 LICKS, Otto Banho e JUNIOR, João Marcelo de Araújo. Aspectos penais dos crimes de informática
no
Brasil. Revista dos tribunais Rio Grande do Sul, 1994. p. 95.
usados para ameaçar ou fraudar; para tal prática é indispensável a utilização de um meio
eletrônico”14.
O Advogado Marco Aurélio afirma que: “crimes de informática são aqueles em que o
sujeito ativo visa especificamente ao sistema de informática, em todas as suas formas.
Entendemos serem os elementos que compõem a informática o “software” e “hardware”
(computadores e periféricos), os dados e sistemas contidos no computador e os meios de
armazenamento externo, tais como: fitas, disquetes, etc. Portanto, são aquelas condutas que
visam exclusivamente violar o sistema de informática do agente passivo”15.
A professora Ivette Senise Ferreira definiu como “ação típica, antijurídica e culpável,
contra ou pela utilização de processamento automático de dados ou sua transmissão”.
Acrescenta que “o conceito abrange qualquer comportamento humano, positivo ou negativo,
desde que seja típico, ou seja, corresponda ao modelo previsto na lei como crime, com a
penalidade respectiva, atendendo-se ao princípio nullum crime nulla poena sine lege, que é
básico em nosso país”16.
O professor João Marcelo de Araújo Júnior diz ser “uma conduta lesiva, dolosa, a
qual não precisa, necessariamente, corresponder à obtenção deuma vantagem ilícita, porém
praticada, sempre, com a utilização de dispositivos habitualmente empregados nas
atividades de informática”17.
 
14 _____________________________________________. Aspectos penais dos crimes de informática
no
Brasil. Revista dos tribunais Rio Grande do Sul, 1994. p. 95
15 COSTA, Marco Aurélio, Crimes de Informática III. Retirado da Internet, Uruguaiana – RS, 1989.
s/p.
16 BARRA, Estudos jurídicos em homenagem a Manoel Pedro Pimentel, RT, São Paulo, 1992. p. 141.
17 JÚNIOR, João Marcelo Araújo, Computer Crime: Conferência Internacional de Direito Penal.
Anais Procuradoria Geral da Defensoria Pública,Rio de Janeiro:, 1988. p. 461.
Licks e Araújo definem como sendo “a conduta que atenta imediatamente contra o
estado natural dos dados e recursos oferecidos por um sistema de processamento,
armazenagem ou transmissão de dados, seja em sua forma, apenas compreendida pelos
elementos que compõe um sistema de tratamento, transmissão ou armazenamento de dados,
seja na sua forma compreensível pelo homem. Tal atentado deve dar-se contra os dados que,
por sua vez, trabalharão sem a intervenção do homem, sendo estes o objeto material do
crime.”18
Dentre todas as definições apresentadas, destaca-se a dos professores Licks e Araújo
como sendo a mais precisa. Dela extrai-se que: Crime puro de informática é toda ação típica,
antijurídica perpetrada com o uso de equipamentos de informática contra os dados, que se
encontram em processamento automático e/ou eletrônico ou em transmissão. Portanto, para o
cometimento do crime puro de informática são necessários dois elementos:
a) Que seja perpetrado com o uso de equipamentos de informática.
b) Que seja contra dados.
2.4 - Distinção entre e crime comum e crime puro de informática.
A partir da definição do que é crime puro de informática, é necessário que se faça
distinção entre este tipo de crime e os crimes comuns.
 
18 LICKS, Otto Banho e JUNIOR, João Marcelo de Araújo. Aspectos penais dos crimes de informática
no
Brasil. Revista dos tribunais, Rio Grande do Sul, , 1994. p. 97.
Muitas vezes os crimes comuns podem atingir bens de informática, como monitores
de vídeo, teclado, CPUs, disquetes, fitas magnéticas, redes, cabos e etc. Mas, nem por isso, os
atos que atingem tais bens serão crimes de informática.
Um exemplo seria aquele onde uma pessoa, com o objetivo de destruir um banco de
dados gravado em um disquete, quebra-o com as mãos. O crime ocorrido foi o de dano, já
que o disquete sofreu avarias, ficando inservível para o fim a que se destina mas não é um
crime de informática. Como já citado, para que exista crime de informática é necessária a
presença de dois elementos: que o crime seja cometido contra dados e com o uso de
equipamentos de informática. No exemplo acima, o crime, apesar de ter sido perpetrado
contra dados, não foi cometido com o uso de equipamentos de informática e sim com a mão.
Não podendo ser qualificado como um crime puro de informática.
Doutra forma, se uma pessoa, com a intenção de ofender a reputação de outrem,
constrói uma página para Internet com imagens íntimas e textos ofensivos e os coloca na
rede, disponibilizando o material para todos os usuários, o crime cometido não foi de
informática, pois, apesar de ter sido perpetrado com o uso de computadores, não foi contra
dados. O objetivo do crime foi de macular a imagem de outra pessoa, sendo a princípio, um
crime de difamação, previsto no Código Penal Brasileiro no artigo 139.
Um exemplo de crime puro de informática é aquele em que uma pessoa, utilizando-se
de um computador e um acesso à Internet, invade outro computador e rouba um banco de
dados. Neste caso, estão presentes os dois elementos necessários para a caracterização do
crime de informática. Apenas com a obtenção, destruição ou alteração dos dados o crime já
está consumado, não sendo necessário nenhuma vantagem patrimonial.
A distinção entre crime comum e crime puro de informática é de vital importância.
Pela análise dos projetos de lei em curso no legislativo, nota-se que, muitas vezes, o
legislador não consegue distinguir as duas espécies de crime, levando a situações esdrúxulas.
Um exemplo seria o projeto de lei nº 200/2000 de autoria do Senador Renan Calheiros
que define e tipifica os delitos informáticos, e dá outras providencias.
Art. 1º Constitui crime de uso indevido da informática:
...........................................................................
§ 4º contra a vida e integridade física das pessoas:
I – o uso de mecanismos da informática para ativação de artefatos explosivos,
causando danos, lesões ou homicídios;
Pena: reclusão, de um a seis anos e multa.
 Se acaso uma pessoa praticasse o ato descrito no art 1º, §4º, I, do projeto em análise,
ou seja, escondesse uma bomba e utilizasse um computador como detonador do artefato
explosivo, levando à morte a vítima, o sujeito ativo seria apenado com no máximo (6) seis
anos de reclusão. Já, se cometesse o mesmo homicídio utilizando-se de uma bomba com
detonador mecânico poderia ser condenado a uma pena mínima de (12) anos, conforme o
artigo 121, § 2º, III do Código Penal Brasileiro.
Com o exemplo acima se nota claramente que o legislador não distinguiu o crime
puro de informática dos crimes comuns que usam a informática como meio para a sua
execução. A vida, integridade física e patrimonial, que são os objetos jurídicos tutelados no
art. 1º, §4, I, do projeto em epígrafe, já estão protegidos pelo nosso Direito Penal. A era
digital elegeu outros bens como socialmente relevantes tais como: a informação, a
privacidade e o acesso às redes de computadores, e serão estes bens que o legislador deverá
proteger.
2.5 - Concurso entre crime puro e crime comum.
Os crimes puros de informática, como a maioria dos crimes, poderão aparecer em
concurso com crimes comuns. Por exemplo: Uma pessoa, utilizando-se de um computador e
um acesso à Internet, invade o servidor da empresa em que trabalha e copia um arquivo que
contém a fórmula do produto de maior vendagem e o divulga na rede, para causar a ruína da
empresa empregadora. Neste caso, existem dois crimes em concurso de forma. O primeiro,
que é um crime puro de informática, não tipificado, o qual foi perpetrado com o uso de
computador e teve como objetivo furtar a base de dados e consumou-se quando o agente
ativo obteve o banco de dados. O segundo crime cometido foi o de divulgação de informação
sem autorização o qual já está positivado na lei nº 9.279, de 14 de maio de 1996 que regula os
direitos e as obrigações relativos a propriedade industrial, enquadrando a ação descrita acima
como crime de concorrência desleal19, art. 195, inciso XII.
2.6 - Quem é o criminoso de informática?
Segundo Mauro Marcelo de Lima e Silva chefe do Setor de Crimes pela Internet da
polícia de São Paulo “O perfil do criminoso de informática, baseado em pesquisa empírica,
indica que os criminosos são jovens, educados, com idade entre 16 e 32 anos, do sexo
masculino, magros, caucasianos, audaciosos e aventureiros, com inteligência bem acima da
média e movidos pelo desafio da superação do conhecimento, além do sentimento de
 
19 Art. 195. Comete crime de concorrência desleal quem:
XI - divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados
confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de
conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação
contratual ou empregatícia, mesmo após o término do contrato;
XII - divulga, explora ou utiliza-se, sem autorização, de conhecimentosou informações a que se refere o
inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude; ou (grifo nosso)
Pena - detenção, de 3 (três) meses a 1 (um) ano, ou multa.
anonimato, que bloqueia seus parâmetros de entendimento para avaliar sua conduta como
ilegal, sempre alegando ignorância do crime e, alegando ser apenas, uma brincadeira”.20
Existem diversos grupos entre os criminosos da informática, dentre eles:
Hacker – Não são criminosos. Sua imagem é muito distorcida pela mídia. Na verdade,
são especialistas em informática que procuram defeitos (bugs) nos sistemas operacionais e
programas e quando os descobrem, comunicam aos fabricantes, além de toda a comunidade
interessada, através de informativos periódicos, listas de discussão ou “news groups”.
Crakers – São os criminosos mais temidos da rede. São movidos pelo dinheiro e fama.
Vivem à procura de alguma brecha na segurança das redes para roubar dados e pichar sites.
Geralmente agem em grupo e mantêm páginas na Internet contendo informações e programas
para a prática dos crimes. Além de serem bons programadores são muito solidários, quando
fazem um bom programa, Disponibilizam, na rede, o código Fonte para que outros
programadores retirem os defeitos do original e criem versões novas, mais avançadas, com
recursos mais destrutivos.
 
20 SILVA, Mauro Marcelo de Lima. Os Crimes Digitais Hoje. Modulo News.
 O mais famoso Craker do mundo é o
americano Kevin David Mitnick Atualmente em
liberdade condicional, foi condenado por fraudes
no sistema de telefonia, roubo de informações e
invasão de sistemas. Os danos materiais
causados por ele são incalculáveis21. (foto 01)
(Fonte anti-hacker www.hackers.com.br)
 foto 01
Hacktivista – São os Crakers envolvidos em movimentos político-sociais ou
ideológicos. Não são movidos pelo dinheiro, mas por promoção das suas causas. O
Hacktivismo surgiu em 1997, quando o cDc (www.cultdeadcow.com) anunciou que
trabalharia auxiliando Hong Kong Blondes na luta contra a repressão em Pequim.
 Este é um movimento que vem crescendo. "O futuro de qualquer ativista político está
na Grande Rede", declarou Stanton McCandish, diretor da Eletric Frontier Foundation
(www.eff.org), que há três anos moveu a campanha do laço azul pela liberdade de expressão
na Internet22.
Carders – Especialistas em criar programas que geram números de cartão de crédito
possibilitando a qualquer um fazer compras em sites de comércio eletrônico sem gasto.
Phreaker- É especializado em telefonia. Fazem parte de suas principais atividades as
ligações gratuitas, tanto locais como interurbanas, reprogramação de centrais telefônicas e
 
21 Fonte: anti-hacker - www.hackers.com.br
22 CARDOSO, Renato. Hacktivismo. Módulo
instalação de escutas, além de conseguir que um possível ataque a um sistema tenha como
ponto de partida provedores de acessos em outros países, suas técnicas permitem não somente
ficar invisível diante de um provável rastreamento, como também forjar o culpado da ligação
fraudulenta.
O prejuízo causado pelos “Phreaker”, no Brasil, gira em torno de 2% do faturamento
das operadoras de telefone móvel, ou seja, US$ 15 bilhões23. O introdutor do conceito de
Phreaker foi o Norte Americano John Draper (foto 02)
 John conseguiu fazer ligações gratuitas
utilizando um apito de plástico, que vinha de
brinde em uma caixa de cereais. Por causa
deste ato os EUA foram obrigados a trocar a
sinalização de controle dos seus sistemas de
telefonia24. (foto 02)
 foto 02
 
23 Fonte: IDG Now! Outubro/99
24 Fonte anti-hacker www.hackers.com.br
 foto 03
Outro Phreaker que marcou a história foi o
americano Kevin Poulsen, Especialista em
telefonia, ganhou vários concursos em rádios,
inclusive um Porshe, ao participar de um
sorteio feito por uma rádio americana onde
ganharia o prêmio o ouvinte de que fizesse a
ligação de número 102º. Kevin invadiu a
central telefônica e controlou a para ser o 102º
a fazer a ligação e ganhou o robusto prêmio25.
(foto 03)
7 - O que move os hackers?
Alexandre Jean Daoun e Renato M.S. Opice Blum26 dividem a motivação dos hackers
em cinco aspectos:
“a) Aspecto Social – Cuidam de ganhar ascensão no grupo social em que vivem,
através de ataques bem sucedidos a redes importantes ou sites famosos, e com sua posterior
pichação, ganham destaque dentro da comunidade underground, sendo mais considerado
pelo grupo e com isso ganhando acesso à informação de ponta, pois não há poder sem
informação.
b) Aspecto técnico – O fim perseguido, é a demonstração das falhas dos sistemas que,
segundo os hackers, foram deixadas propositalmente pelos criadores dos programas.
 
25 Fonte anti-hacker www.hackers.com.br
26 LUCCA, Newton de. Direito e Internet: Aspectos Jurídicos Relevantes. 1.ed. Bauru, SP, Edipro, 2.000.
122 p.
c) Aspecto político – São os que têm fortes convicções políticas. Utilizam invasão dos
sistemas para “passar seus ideais”. São pequenos focos politizados e atuantes que brigam
por uma causa e se expressam no meio eletrônico.
d) Aspecto laboral – Compreendem aqueles que buscam um emprego, mostrando que
são melhores que aqueles que desenvolvem o sistema invadido. Incluem-se também aqueles
que são contratados pela promessa de prêmio por colocarem à prova os novos mecanismos
de segurança informatizados.
e) Aspecto governamental internacional – Envolve os atos praticados por um
governo contra outro. É o avanço da tecnologia de um país sobre outro. Sabemos que tal
tendência, iniciada com a chamada 'guerra fria', transcendeu a guerra do Golfo. É a
tendência natural de substituição gradual de armamentos pesados por tecnologias de
ponta”.
2.8 - Situação atual relativa aos crimes informáticos.
 Grande parte dos dados apresentados nesta etapa do trabalho foram retirados da
pesquisa anual da empresa Módulo Security Solutions, que é uma das maiores organizações
que atuam no segmento de segurança das informações, e que há seis anos promove uma
pesquisa nacional com empresas brasileiras de médio e grande porte além de instituições
governamentais.
2.8.1 - Qual o país sofreu o maior número de ataques?
O Brasil foi o país que apresentou o maior crescimento de ataques durante o ano 2000,
totalizando 563 invasões no período, contra 124 em 1999.27
Gráfico 00 – Fonte: Attrition
2.8.2 - Quantificação dos prejuízos sofridos devido a um ataque
a) Quantificação nos EUA.
 Uma grande barreira a ser transposta pelas empresas é a quantificação dos prejuízos
após um ataque (BIA Business Impact Analisys), pois a informação é um bem intangível e de
difícil conversão monetária. No ano de 1998, dentre o total de empresas atacadas nos EUA,
somente 31% conseguiu contabilizar os prejuízos causados que chegaram a cifra de 123
milhões de dólares. Em 1999, as perdas chegaram a U$ 265 milhões, mais que o dobro do
 
27 Fonte: attrition.org.
ano anterior. Isso considerando que apenas 42% dos entrevistados puderam estabelecer o
tamanho do prejuízo.28
 
www.ricardoreis.cjb.net 
Gráfico 01
b) Quantificação no Brasil.
A situação brasileira não é muito diferente da Norte Americana. Apenas 19% das
empresas nacionais conseguiram determinar os prejuízos que rondaram a casa do milhão de
reais no ano de 1998. (gráfico 03)
 
28 Fonte: Reuters, 22 de março de 2000.
 
www.ricardoreis.cjb.net 
Gráfico 02
2.8.3 - Quais as principais ameaças?
O vírus de computador é, semdúvida, o maior causador de problemas nos sistemas de
informática de uma empresa. Segundo a pesquisa da Módulo, 75% dos entrevistados
acreditam que o vírus é a principal ameaça29, e 73 % entendem que os problemas com vírus,
no ano de 2001, vão aumentar30.
Em segundo lugar, dentre os maiores causadores de problemas vem a divulgação
indevida de senha. Funcionários despreparados, sem noção dos danos que podem ser
 
29 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000.
30 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000.
causados, não tomam os devidos cuidados com sua senha e de boa-fé as entregam a pessoas
não autorizadas.
Os piores danos causados por divulgação indevida de senha vêm dos funcionários que
maliciosamente as entregam a terceiros com a finalidade de provocar prejuízos ao
empregador.
“Ao devassar a conta de e-mail do grupo criminoso inferno.br, a
polícia, encontrou mais de 600 e-mails com diversas senhas de funcionários
de empresas que as enviavam ao grupo com o pedido que os hackers fizessem
um ataque. Segundo informou o Delegado Mauro Marcelo de Lima e Silva,
chefe do Setor de Crimes pela Internet da polícia de São Paulo”31.
Os hackers, apesar de tão temidos, atualmente ocupam a terceira posição, sendo
responsáveis por 44% dos ataques32. É necessário que se veja que na análise histórica das
principais ameaças os hackers sempre figuraram como o quarto maior causador de problemas
e somente no ano 2.000 caíram para a terceira posição.
Em quarto lugar encontram-se os funcionários sendo responsáveis por 42% dos
problemas de insegurança. Além disso, a pesquisa aponta que 51% dos problemas de
segurança têm origem interna 33.
Segundo o Gartner Group 34, nos EUA os funcionários são responsáveis por 80% dos
problemas com segurança das informações dentro das empresas, perdendo apenas para os
vírus de computador.
 
31 Fonte: O Dia – online 05 de maio de 2000.
32 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000.
33 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000
34 Fonte: Computerworld, 15 de fevereiro de 2000.
 
www.ricardoreis.cjb.net 
Gráfico 03
2.8.4 - Investimentos em sistemas de segurança.
As empresas brasileiras estão se conscientizando em relação à necessidade de
segurança. Na 6ª Pesquisa Nacional Sobre Segurança da Informação foi demonstrado que
93% dos entrevistados já utilizam proteção contra vírus e 91% utilizam sistemas de cópias de
segurança35 (backup).
 
35 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000
Em 2000, 89% das empresas já possuem o firewall36,contra apenas 5% que utilizavam
este sistema de proteção no ano de 1996. Mas apenas 27% possuem um plano de proteção
contra ataques37.
A pesquisa também informa que 53% das entrevistados estão implementando medidas
de capacitação e treinamento dos seus funcionários. E para 58% dos entrevistados o maior
obstáculo para a implementação de uma política de segurança é a conscientização38.
Outro dado importante demonstrado pela pesquisa é que 82% das empresas
entrevistadas possuem acesso à Internet, que é responsável por 40% das invasões, mas apenas
39% das corporações possuem política de uso da Internet39.
2.8.5 - Providências tomadas após um ataque.
A maioria das empresas (54%) após sofrer um ataque só tomou providências internas.
Apenas 9% recorreram a medidas judiciais no ano de 2.000 (gráfico 04), contra 20% nos
EUA40, devido a alguns fatores. São eles:
- Falta de legislação específica;
- Falta de operadores do direito capacitados para atuarem no caso;
- Falta de técnicos competentes para colher provas;
 
36 Firewall é um sistema de defesa no qual programas de computador isolam a rede interna de
computadores da organização da rede externa dificultando um ataque.
37 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000.
38 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000
39 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000
- Medo da repercussão negativa, que gera um desgaste no nome da empresa;
- Medo de represálias por parte dos criminosos.
 
www.ricardoreis.cjb.net 
Gráfico 04
2.9 – Situação atual relativa à legislação vigente.
Devido à novidade do tema, no Brasil ainda não existe um Código Penal de
Informática. Aliás, a sua própria criação é um tema controvertido. Entretanto, uma posição é
unânime e foi expressada pelo Ministro do STF Celso Mello, que afirma: "Há leis em
 
40 Fonte: 6ª Pesquisa Nacional sobre Segurança da Informação - 2.000
demasia e ultrapassadas para antigas demandas; e escassas, ou inexistentes, para demandas
novas, como os chamados crimes informáticos.”41
2.9.1 - Legislação aplicável aos crimes de informática no Brasil
No Brasil já existem alguns tipos penais que punem crimes puros de informática
(anexo I) mas ainda não são capazes de abranger todos os atos de maior reprovação social
onde deve ser aplicado o Direito Penal.
Os poderes Legislativo, Executivo, Judiciário e o Ministério Público já se
conscientizaram que o país necessita de leis para punir os crimes de informática. A discussão
a respeito do tema é intensa e a todo momento estão sendo criados congressos que vem tendo
a participação de doutrinadores de renome debatendo com jovens profissionais do direito, da
tecnologia da informação, da segurança da informação, psicólogos, sociólogos e usuários, em
fim, toda a sociedade, pois os crimes de informática envolvem diversos ramos do
conhecimento humano, tornando- se uma ciência multidisciplinar.
2.9.2 – Projetos de lei em andamento.
Dentre os projetos de lei em tramitação no legislativo brasileiro, o pioneiro foi o de
número 1.713/96 de autoria do deputado Cássio Cunha Lima, que com seus 35 artigos cria
diversos tipos penais elegendo novos bens jurídicos a serem tutelados pelo direito.
 O legislador comete o erro de ser excessivamente detalhista e casuísta, tentando
engessar a informática, mas correndo o risco de ser engessado por ela. Todavia, colhe os
louros por ter sido pioneiro, iniciando a discussão a respeito do assunto que desde a década
de 70 é debatido nos EUA e na Europa, e só na década de 90 passou a ser discutido no Brasil.
 
41 Leis brasileiras pedem atualização. O Liberal. Belém, 10 nov. 1996, Painel, p. 7.
O projeto mais recente, que versa sobre o tema, é de número 200/2000, do Senador
Renan Calheiros que foi apresentado em uma época de grade turbulência na Internet, onde
jovens brasileiros membros do grupo Inferno.br fizeram ataque de indisponibilidade (DoS)
nos sites mais visitados do planeta. Devido a esta situação, o Brasil sofreu grande pressão
externa levando à apresentação do projeto em questão que contém defeitos graves como por
exemplo a bitipificação. Atualmente o projeto está parado.
O único projeto que acredita-se ter possibilidade de ser transformado em lei é o
84/1999, de autoria do Deputado Luiz Piauhylino (PSDB-PE). O qual será analisado com
mais profundidade no decorrer deste trabalho.
Um projeto de grande importância, mas que não está recebendo a devida atenção, é o
3016/2000 do Deputado Antônio Carlos Pannuzio, que determina que todos os provedores de
acesso à Internet manterão o registro das conexões realizadas pelos usuários nos últimos três
ou cinco anos. Tais registros são conhecidos como “logs”.
“Especialistas são unânimes em lembrar que os arquivos de “log” são os
únicos registros de um comportamentosuspeito. Sem os mecanismos devidamente
configurados e implementados dificilmente será possível determinar se uma
tentativa de invasão foi feita e se o invasor foi bem sucedido”.42
O projeto do senador cuida da conservação dos “logs”, possibilitando a auditagem dos
sistemas e a obtenção de provas. A maior crítica que se pode fazer a este projeto legislativo é
falta de determinação legal de qual tipo de mídia deverá ser usada para conservar os arquivos
de “logs”, além de não haver nenhuma penalidade se acaso os arquivos conservados forem
alterados.
 
42 Análise de logs: peça-chave na auditoria de segurança, Modulo e-Security News, 17/05/ 2001.
Disposições no sentido de garantir as provas já existem na legislação portuguesa de
crimes de informática (Criminalidade Informática-Lei n.º109/91, 17 de Agosto. Art. 4º)43
2.9.3 - Política de segurança federal.
O Poder Executivo Federal tem trabalhado para a implantação de uma política de
segurança da informação. O Decreto nº 3.505, de 13 de junho de 2000, instituiu a Política de
Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Destaca-
se o parágrafo 2º do segundo artigo onde se definem os conceitos e os objetivos para a
política de segurança do Governo Federal.
Art. 2º Para efeitos da Política de Segurança da Informação, ficam estabelecidas
as seguintes conceituações:
II - Segurança da Informação: proteção dos sistemas de informação contra a
negação de serviço a usuários autorizados, assim como contra a intrusão e a
modificação desautorizada de dados ou informações, armazenados, em
processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos
humanos, da documentação e do material, das áreas e instalações das
comunicações e computacional, assim como as destinadas a prevenir, detectar,
deter e documentar eventuais ameaças a seu desenvolvimento.(grifo nosso)
Com a edição do decreto em análise, o Governo Federal define os pilares da
segurança da informação, que são: a confidencialidade, a integridade e a disponibilidade das
informações, em qualquer tipo de suporte, elegendo como integrantes do sistema de
 
47-Art. 4º Falsidade informática.
1. Quem, com intenção de provocar engano nas relações jurídicas, introduzir, modificar, apagar ou suprimir
dados ou programas informáticos ou, por qualquer outra forma, interferir num tratamento informático de dados,
quando esses dados ou programas sejam susceptíveis de servirem como meio de prova, de tal modo que a sua
visualização produza os mesmos efeitos de um documento falsificado, ou, bem assim, os utilize para os fins
descritos, será punido com pena de prisão até cinco anos ou multa de 120 a 600 dias.
segurança não somente os programas, mas os recursos humanos e as instalações físicas.
Entendendo como:
Integridade – dentro do sentido aceito pelo Direito da Informação, a integridade
consiste em que um dado só pode ser alterado por uma pessoa devidamente autorizada.
Portanto, não é sinônimo de correção. Se um dado foi gerado errado deverá permanecer desta
forma até a sua modificação por pessoa devidamente autorizada.
Disponibilidade – o significado da palavra disponibilidade dentro da segurança da
informação é que todo dado deve estar disponível a todo aquele que tenha interesse em
acessá-lo e esteja autorizado para tanto.
Confidencialidade – a acepção correta da palavra confidencialidade dentro do Direito
da Informação é que os dados podem ser acessados, e este direito de acesso deve ser
garantido só que unicamente para pessoas autorizadas.
Os três pilares (confidencialidade, integridade e disponibilidade) têm que estar
presentes em todos os sistemas legislativos que pretendam garantir a segurança das
informações, pois a falta de somente um deles tornará o sistema vulnerável.
2.10 – Análise do projeto de lei 84/99.
Nesta etapa do trabalho será feito uma análise crítica aos tipos penais aplicados aos
crimes puros de informática presentes no projeto de lei 84/99 (anexo II) tomando sempre
como referência a situação atual relativa aos crimes de informática já apurada neste trabalho.
Será feita remissão, sempre que possível, à legislação portuguesa.
2.10.1 – Direito Comparado
A escolha da legislação portuguesa como referência foi devido a este país já dispor de
uma vasta gama de leis que versam sobre o tema44 e que são fruto de uma profunda
discussão, que houve no continente europeu, na época da criação do mercado comum
No início da unificação do velho continente foram aprovadas diversas diretivas sobre
tecnologia da informação que foram reunidas em um único documento denominado Livro
Verde. Baseado no Livro Verde foi criada a Sociedade da Informação, que tem como objetivo
específico traçar metas a serem seguidas pelas empresas e apontar os novos bens jurídicos
que devem ser tutelados pelos legisladores dos paises componentes do bloco.
A legislação lusitana é uma das mais modernas no mundo, refletindo o
posicionamento de todo bloco europeu. Ainda é importante destacar que este país já possui
uma boa quantidade de julgados inclusive com seis condenações em primeira instância 45
entre os anos de 1997 e 1999, quando foi aplicada a lei de criminalidade Informática.
2.10.2- Crimes puros previstos no Projeto de lei 84/99.
2.10.2.a – Artigo 8º.
 
44 Lei da Criminalidade Informática (n.º109 de 17 de agosto, 91) DL nº48 de 15 de maço, 95 que altera o
Código Penal português cria os tipos de devassa por meio de informática Art. 193º Burla informática Art. 221º
a Portaria n.º 599/93, de 23 de Junho que regulamenta o acesso à informação contida no ficheiro central de
pessoas coletivas. Além do Decreto-Lei Nº 290-D/99, de 2 de Agosto cria ao regime jurídico dos documentos
eletrônicos e da assinatura digital.
45 Fonte: Estatística do Gabinete de Política Legislativa e Planejamento do Ministério da Justiça de
Portugal.
Dano a dado ou programa de computador
Art. 8º. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou
parcialmente, dado ou programa de computador, de forma indevida ou não
autorizada.
Pena: detenção, de um a três anos e multa.
Neste artigo, o legislador deu um grande passo na tutela jurídica do dado penalizando
quem apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado
ou programa de computador. Este é um crime puro de informática e o objeto jurídico tutelado
é a integridade dos dados ou dos programas de computador.
A tutela específica do dado é necessária pois por possuir um corpo etéreo o dado em
formato digital está sempre está ligado a um suporte (mídia) mas nem sempre o proprietário
do computador ou da mídia que contém o dado é o seu dono, podendo possuir apenas uma
licença de uso, que é o que geralmente ocorre. Esta situação causava a impossibilidade do
dono do dado dar prosseguimento à ação penal, independentemente da vontade do dono da
mídia, quando era vítima de um ataque.
O dano a dado ou programa de computador está tipificado no art. 5º da legislação
portuguesa, Lei n.º109 de 17 de Agosto, 1991, que cria o crime de dano relativo a dados ou
programas informáticos46.
2.10.3.b- Artigo 9º.
Acesso indevido ou não autorizado.
 
46 Art. 5º Dano relativo a dados ou programas informáticos.
1. Quem, sem para tanto estar autorizado, e atuando com intenção de causar prejuízo a outrem ou de obter
um benefício ilegítimo para si ou para terceiros, apagar, destruir, no todo ou em parte, danificar, suprimir ou
tornar não utilizáveis dados ou programas informáticos alheios ou, por qualquer forma, lhes afetar a capacidade
de uso será punido corri pena de prisão até três anos ou penade multa.
2. A tentativa é punível.
Acesso indevido ou não autorizado
Art. 9o. Obter acesso, indevido ou não autorizado, a computador ou rede de
computadores.
Pena: detenção, de seis meses a um ano e multa.
No art. 9º, o legislador pune o acesso indevido ou não autorizado a computador ou
redes de computadores com a finalidade de preservar a confidencialidade dos dados em um
sistema computacional e por via oblíqua protege a integridade dos dados.
Este é um crime puro de informática pois só pode ser perpetrado com o uso de
computadores e programas e é um dos atos mais cometidos pelos criminosos externos da
corporação, pois para que se possa roubar dados ou alterá-los é necessário que se tenha
acesso ao sistema.
Acredita-se ser acertada a posição do legislador nacional ao punir o crime de acesso
indevido ou não autorizado na forma tentada. Um criminoso ao tentar obter acesso não
autorizado a um sistema computacional causa grandes prejuízos a suas vítimas, mesmo sem
lograr êxito em sua empreitada criminosa, pois um ataque pode durar vários dias e consome
diversos recursos do sistema, como o tempo de funcionamento das máquinas, banda e
disponibilidade do sistema.
A legislação portuguesa, na Lei n.º109 de agosto, 1991 pune o acesso ilegítimo no
artigo 7ºde forma bem detalhada e precisa 47.
 
47 Art. 7º Acesso ilegítimo.
1. Quem, não estando para tanto autorizado e com a intenção de alcançar, para si ou para outrem, um
benefício ou vantagem ilegítimos, de qualquer modo aceder a um sistema ou rede informáticos será punido com
pena de prisão até um ano ou com pena de multa até 120 dias.
4. A tentativa é punível.
2.10.4.c – Artigo 9º , § 1º.
Parágrafo primeiro. Na mesma pena incorre quem, sem autorização ou
indevidamente, obtém, mantém ou fornece a terceiro qualquer meio de
identificação ou acesso a computador ou rede de computadores.
Acertadamente, o legislador pune aquele que fornece, indevidamente, qualquer meio
de identificação ou acesso a um sistema computacional. Como já foi visto na análise do
gráfico 03, o fornecimento indevido de senha foi detectado como a segunda maior ameaça
aos sistemas no ano de 2.000, só perdendo para o vírus de computador.
2.10.5.d – Artigo 10º.
Alteração de senha ou mecanismo de acesso a programa de
computador ou dados
Art. 10o. Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou
qualquer outro mecanismo de acesso a computador, programa de computador ou
dados, de forma indevida ou não autorizada.
Pena: detenção, de um a dois anos e multa.
No artigo 10, o legislador cria a proteção aos mecanismos de acesso aos computadores
ou dados, criando um tipo misto onde se misturam elementos dos crimes puros de informática
como apagar ou alterar, protegendo com isso a disponibilidade daqueles que podem acessar
devidamente o sistema e não o farão pois mecanismos de acesso foram alterados ou
destruídas.
Além disso, funde ao tipo elementos de crime comum, quando coloca que poderá ser
perpetrado contra qualquer mecanismos de acesso a computador, o que inclui equipamentos
como: leitora de cartão, scanner de impressão digital , de íris ocular e outros.
2.10.6.e – Artigo 11º.
Obtenção indevida ou não autorizada de dado ou instrução de
computador.
Art. 11o. Obter, manter ou fornecer, sem autorização ou indevidamente, dado ou
instrução de computador.
Pena: detenção, de três meses a um ano e multa.
O intuito do legislador, no artigo 11, é a punição daquele que obtém, mantém ou
fornece de forma indevida ou não autorizada dado ou instrução de computador. Este é um
crime puro de informática conhecido como “furto de dados, e é um dos mais danosos
atingindo toda a sociedade.
Este é um dos crimes mas tentados e perpetrados pelos crackers que passam longos
períodos de suas vidas tentando invadir computadores e roubar bancos de dados e,
principalmente, números de cartões de crédito.
De acordo com a 6ª pesquisa anual realizada pelo Computer Security Institute (CSI) e
o FBI, os prejuízos causados por crackers em 2000 cresceram 42% em relação ao ano
anterior, chegando a 378 milhões de dólares. A pesquisa, realizada com 538 profissionais de
segurança de companhias de vários setores, revelou que as maiores perdas estão relacionadas
ao roubo de informações confidenciais.
O legislador português pune o crime de “furto de dados” no artigo 6º48 da Lei
n.º109/91, 17 de agosto, mas infelizmente o tipo penal não é muito preciso só podendo ser
aplicado aquele que suprime os dados com a intenção de entravar ou perturbar o
 
48 Art. 6ª Sabotagem informática.
1. Quem introduzir, alterar, apagar ou suprimir dados ou programas informáticos ou, por qualquer outra
forma, interferir em sistema informático, actuando com intenção de entravar ou perturbar o funcionamento de
um sistema informático ou de comunicação de dados à distância, será punido com pena de prisão até 5 anos ou
com pena de multa até 600 dias. (grifo nosso)
funcionamento do sistema. De um modo geral, os dados são furtados e não há perturbação
perceptível no sistema, tanto que a maioria das vítimas não sabe que foram furtadas.
2.10.7.f – Artigo 12º.
Violação de segredo armazenado em computador, meio magnético de
natureza magnética, óptica ou similar
Art. 12o. Obter segredos, de indústria ou comércio, ou informações pessoais
armazenadas em computador, rede de computadores, meio eletrônico de natureza
magnética, óptica ou similar, de forma indevida ou não autorizada.
Pena: detenção, de um a três anos e multa.
No artigo 12 o legislador incrimina a obtenção não autorizada de segredos da
industria, comércio ou informações pessoais com a pena de um a três anos. O artigo em
análise gera uma situação esdrúxula pois se alguém obtém um segredo de indústria ou
comércio pelo roubo de um disquete terá uma pena de 1 (um) a 3 (três) anos, conforme o
projeto. Se de outra forma, obtém o mesmo segredo que está impresso em uma folha de papel
terá cometido o crime de concorrência desleal49 e terá uma pena de 3 (três) meses a 1 (um)
ano, ou multa conforme a Lei nº 9.279, de 14 de maio de 1996, Artigo 195, XI.
2.10.8.g – Artigo 13º.
Criação, desenvolvimento ou inserção em computador de dados ou
programa de computador com fins nocivos
Art. 13o. Criar, desenvolver ou inserir, dado ou programa em computador ou rede
de computadores, de forma indevida ou não autorizada, com a finalidade de
 
49 Art. 195. Comete crime de concorrência desleal quem:
XI - divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados
confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de
conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação
contratual ou empregatícia, mesmo após o término do contrato;
Pena - detenção, de 3 (três) meses a 1 (um) ano, ou multa.
apagar, destruir, inutilizar ou modificar dado ou programa de computador ou de
qualquer forma dificultar ou impossibilitar, total ou parcialmente, a utilização de
computador ou rede de computadores.
Pena: reclusão, de um a quatro anos e multa.
No artigo 13, o legislador pune a criação, o desenvolvimento e a inserção de todas as
pragas virtuais como os vírus, cavalos de Tróia, “backdoor”, “worm” que, como mostrado na
análise do gráfico 03, os vírus são a principal ameaça aos sistemas computacionais.
 O legislador pune os vírus que apagam, destroem, inutilizam ou modificam os dados,
quebrando a integridade do sistema computacional e ainda pune aqueles vírus que de
qualquer forma dificultem ou impossibilitem, total ou parcialmente, a utilização de
computador ou rede de computadores.Ou seja, causam a indisponibilidade do sistema.
O projeto poderia ter sido mais preciso utilizando a palavra disseminação ao invés de
inserção. De modo geral, aquele que cria os vírus não os insere em um sistema
computacional, ele os dissemina levando o próprio usuário a inseri-lo sem saber da existência
do vírus.
Acredita-se que legislação portuguesa tutelou de forma satisfatória a disponibilidade
dos dados quando criou o crime de sabotagem informática no art. 6º50, da Lei n.º 109 de 17 de
Agosto, 1991. O legislador lusitano utilizou um tipo mais genérico e abstrato, punindo aquele
que de qualquer forma perturba o funcionamento de um sistema telemático.
 
50 Art. 6º Sabotagem informática.
1. Quem introduzir, alterar, apagar ou suprimir dados ou programas informáticos ou, por qualquer outra
forma, interferir em sistema informático, atuando com intenção de entravar ou perturbar o funcionamento de um
sistema informático ou de comunicação de dados à distância, será punido com pena de prisão até 5 anos ou com
pena de multa até 600 dias.
No art. 14 do projeto 84/99 puni-se oferecimento de pornografia sem o devido aviso
prévio com pena de detenção de (1) um a (3) três anos e multa. O artigo em epígrafe não é
um crime puro de informática, mas é importante ressaltar que o oferecimento de pornografia
a crianças ou adolescentes já é crime, conforme o Estatuto da Criança e Adolescente, Lei nº
8069, de 1990, que no seu artigo 241 prescreve uma pena de (1) um a (4) quatro anos para
quem publicar cenas de sexo explícito, independentemente de qual seja o meio de
publicação, podendo ser até uma rede de computadores.
2.10.8.g – Artigo 15º.
Art. 15o. Se qualquer dos crimes previstos nesta lei é praticado no exercício de
atividade profissional ou funcional, a pena é aumentada de um sexto até a metade.
Acertadamente, pune-se com mais dureza o funcionário que comete os crimes
tipificados nesta lei. Como já mostrado na análise da situação atual, (gráfico 03) os
funcionários estão em quarto lugar entre os maiores causadores de incidentes de segurança
respondendo por 42% do total.
2.10.9 – Críticas finais ao projeto 84/99.
De um modo geral, o projeto 84/99 é bom pois pune as principais ameaças aos
sistemas computacionais (gráfico 03) como a disseminação de vírus, divulgação indevida de
senha, funcionários insatisfeitos que atacam o sistema e os atos praticados pelos hackers.
Infelizmente, o sistema legal proposto deixa brechas para algumas espécies de ataques
sem tipificação legal, como por exemplo o ataque de indisponibilidade (DoS). O projeto só
tutela a confidencialidade e a integridade deixando de lado a disponibilidade dos dados na
rede.
3.0 – Conclusão.
A segurança da informação é um tema bastante complexo, envolvendo várias áreas
das ciências humanas. Portanto, é necessário a união de todos no sentido de se construir um
sistema mais seguro pois todos perdem com a insegurança.
Somente leis, decretos, programas de computador, manuais de conduta não trarão
grandes resultados no combate aos crimes de informática. É necessário uma mudança cultural
em toda a sociedade.
O sistema legal ideal de proteção dos dados deve deixar espaço para a auto-
regulamentação. Deverá basear-se no princípio de criminalização mínima, criando penas
especiais para aqueles que cometem crimes de informática. Ademais, deverá haver a
modalidade culposa nos tipos penais e prescrever uma diminuição da pena quando a invasão
se der pela negligência da empresa ou do gerente do sistema, pois pesquisas apontam que a
grande parte das invasões poderiam ser evitadas se os sistemas tivesse sido atualizados. O
legislador português, atento a este detalhe, criou a figura do Auditor de segurança no artigo
1651 do Decreto-Lei Nº 290-D/99, que regulamenta o regime jurídico dos documentos
eletrônicos e da assinatura digital.
É necessário que o legislador fique mais atento ao princípio da proporcionalidade. A
aplicação de penas muito severas poderá levar a situações prejudiciais para a própria
sociedade. Quando se pune uma pessoa que cometeu um ato criminoso de informática com
até seis anos de reclusão, como ocorre em alguns casos no projeto 84/99, levando o
delinqüente a um sistema fechado ou semi-aberto corre-se o risco de se formar um novo
grupo criminoso, pois serão colocados no mesmo lugar, criminosos violentos ou
estelionatários perspicazes, juntamente com hackers podendo formar um grupo que unirá as
habilidades dos criminosos de informática e a astúcia de criminosos comuns. Apenas
relembrando a história, foi a união de criminosos políticos com bandidos comuns, no presídio
da Ilha Grande, que se deu início ao Comando Vermelho, que é a maior organização
criminosa do Brasil.
A segurança da informação é uma corrente onde tensão suportada se mede pelo elo
mais fraco. Quando um objetivo muito almejado pelos criminosos se torna impossível de ser
alcançado devido à sofisticação tecnológica, o delinqüente se vira para algo mais fácil.
Quando as empresas atingirem um nível de segurança tal que não possa ser facilmente
atacada, os hackers se voltarão para os usuários domésticos que serão o elo mais fraco dentro
da corrente, com isso causarão um drama muito maior do que os vividos atualmente pelas
empresas, por isso é necessária a união de todos com a finalidade de construir a nova
sociedade da informação.
 
51 Artigo 16.º Auditor de segurança.
1.Todas as entidades certificadoras terão um auditor de segurança, pessoa singular ou coletiva, o qual
elaborará um relatório anual de segurança e o enviará à autoridade credenciadora, até 31 de Março de cada ano
civil.
ANEXO I
LEI No 9.983, DE 14 DE JULHO DE 2000.
Altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 –
Código Penal e dá outras providências.
Art. 1o São acrescidos à Parte Especial do Decreto-Lei no 2.848, de 7 de dezembro de
1940 – Código Pena l, os seguintes dispositivos:
"Inserção de dados falsos em sistema de informações"
"Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos,
alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de
dados da Administração Pública com o fim de obter vantagem indevida para si ou para
outrem ou para causar dano:"
"Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa."
"Modificação ou alteração não autorizada de sistema de informações"
"Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações ou programa
de informática sem autorização ou solicitação de autoridade competente:"
"Pena – detenção, de 3 (três) meses a 2 (dois) anos, e multa."
"Parágrafo único. As penas são aumentadas de um terço até a metade se da
modificação ou alteração resulta dano para a Administração Pública ou para o administrado."
"Art.153. ......................................."
"§ 1o-A. Divulgar, sem justa causa, informações sigilosas ou reservadas, assim
definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da
Administração Pública:"
"Pena – detenção, de 1 (um) a 4 (quatro) anos, e multa."
"§ 1o (parágrafo único original)"
"§ 2o Quando resultar prejuízo para a Administração Pública, a ação penal será
incondicionada."
"Art. 325. ...................................."
"§ 1o Nas mesmas penas deste artigo incorre quem:"
"I – permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou
qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou
banco de dados da Administração Pública;"
"II – se utiliza, indevidamente, do acesso restrito."
"§ 2o Se da ação ou omissão resulta dano à Administração Pública ou a outrem:" (AC)
"Pena – reclusão, de 2 (dois)a 6 (seis) anos, e multa."
"Art.327. ......................................."
"§ 1o Equipara-se a funcionário público quem exerce cargo, emprego ou função em
entidade paraestatal, e quem trabalha para empresa prestadora de serviço contratada ou
conveniada para a execução de atividade típica da Administração Pública." )
LEI Nº 9.296, DE 24 DE JULHO DE 1996
Regulamenta o inciso XII, parte final, do art. 5° da
Constituição Federal. (art. 10)
Art. 10. Constitui crime realizar interceptação de comunicações telefônicas, de
informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com
objetivos não autorizados em lei.
Pena: reclusão, de dois a quatro anos, e multa.
LEI Nº 9.100, DE 29 DE SETEMBRO DE 1995.
Estabelece normas para a realização das eleições
municipais de 3 de outubro de 1996, e dá outras providências.
DOS CRIMES ELEITORAIS
Art. 67. Constitui crime eleitoral:
VII - obter ou tentar obter, indevidamente, acesso a sistema de tratamento automático de
dados utilizado pelo serviço eleitoral, a fim de alterar a apuração ou contagem de votos:
Pena - reclusão, de um a dois anos, e multa;
VIII - tentar desenvolver ou introduzir comando, instrução ou programa de computador,
capaz de destruir, apagar, eliminar, alterar, gravar ou transmitir dado, instrução ou programa
ou provocar qualquer outro resultado diverso do esperado em sistema de tratamento
automático de dados utilizado pelo serviço eleitoral:
Pena - reclusão, de três a seis anos, e multa;
ANEXO II
SUBSTITUTIVO AO PROJETO DE LEI Nº 84, DE 1999
(Do Deputado Luiz Piauhylino)
Dispõe sobre os crimes de informática, suas penalidades
e outras providências.
O Congresso Nacional decreta:
CAPÍTULO I
DOS PRINCÍPIOS QUE REGULAM A PRESTAÇÃO DE SERVIÇO POR REDES DE
COMPUTADORES
Art. 1º. O acesso, o processamento e a disseminação de informações através das redes de
computadores devem estar a serviço das pessoas naturais e jurídicas, estas no que couber, e
da sociedade, respeitados os direitos fundamentais, especialmente os direitos à intimidade e à
segurança no acesso às informações veiculadas em rede de computadores.
Art. 2º. É livre a estruturação e o funcionamento das redes de computadores e seus serviços,
ressalvadas as disposições específicas reguladas em lei.
CAPÍTULO II
DO USO DE INFORMAÇÕES DISPONÍVEIS EM COMPUTADORES OU REDES DE
COMPUTADORES
Art. 3º. Para fins desta lei, entende-se por informações privadas aquelas relativas inerentes à
pessoa natural ou jurídica identificada ou identificável.
Parágrafo Único. É identificável a pessoa cuja individuação não envolva custos ou prazos
desarrazoados
.
Art. 4º.Ninguém será obrigado a fornecer informações próprias ou de terceiros, salvo nos
casos previstos em lei.
Art. 5º. A coleta, o processamento e a distribuição, com finalidade comercial, de informações
privadas ficam sujeitas à prévia autorização da pessoa a que se referem, que poderá ser
tornada sem efeito a qualquer momento, assegurado o ressarcimento por dano material ou
moral, quando couber.
§ 1º. A toda pessoa cadastrada dar-se-á conhecimento das informações privadas armazenadas
e das respectivas fontes.
§ 2º. Fica assegurado o direito à retificação de qualquer informação privada incorreta, assim
como o de contestação ou explicação sobre dado verdadeiro mas justificável e que esteja sob
pendência judicial ou amigável.
§ 3º. Salvo por disposição legal ou determinação judicial em contrário, nenhuma informação
privada será mantida à revelia da pessoa a que se refere ou além do tempo previsto para a sua
validade.
§ 4º. Qualquer pessoa, natural ou jurídica, tem o direito de interpelar o proprietário de rede de
computadores ou provedor de serviço para saber se mantém informações a seu respeito e o
respectivo teor.
Art. 6º. Os serviços de informações ou de acesso a bancos de dados não distribuirão
informações privadas referentes, direta ou indiretamente, a origem racial, opinião política,
filosófica, religiosa ou de orientação sexual, e de filiação a qualquer entidade, pública ou
privada, salvo autorização expressa do interessado.
Art. 7º. O acesso de terceiros, não autorizados pelos respectivos interessados, a informações
privadas mantidas em redes de computadores dependerá de prévia autorização judicial.
CAPÍTULO III
DOS CRIMES DE INFORMÁTICA
Seção I Dano a dado ou programa de computador
Art. 8º. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente,
dado ou programa de computador, de forma indevida ou não autorizada:
Pena: detenção, de um a três anos e multa.
Parágrafo único. Se o crime é cometido:
I - contra o interesse da União, Estado, Distrito Federal, Município, órgão ou entidade da
administração direta
ou indireta ou de empresa concessionária de serviços públicos;
II - com considerável prejuízo material ou moral
para a vítima;
III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV - com abuso de confiança;
V - com o uso indevido de senha ou processo de identificação de terceiro; ou
VI - com a utilização de qualquer outro meio fraudulento.
Pena: detenção, de dois a quatro anos e multa
Seção II - Acesso indevido ou não autorizado
Art. 9º. Acessar de forma indevida ou não autorizada, computador ou rede de computadores:
Pena: detenção, de seis meses a um ano e multa.
§ 10. Se o crime é cometido:
I - com acesso a computador ou rede de computadores da União, Estado, Distrito Federal,
Município, órgão ou entidade da administração direta ou indireta ou de empresa
concessionária de serviços públicos;
II - com considerável prejuízo material ou moral para a vítima;
III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV - com abuso de confiança;
V - com o uso indevido de senha ou processo de identificação de terceiro; ou
VI - com a utilização de qualquer outro meio fraudulento.
Pena: detenção, de um a dois anos e multa.
§ 20. Na mesma pena incorre quem obtém ou facilita a obtenção, mantém ou fornece a
terceiro qualquer meio de identificação ou acesso a computador ou rede de computadores.
Seção III - Alteração de senha ou mecanismo de acesso a Programa de computador ou
dados
Art. 10. Apagar, destruir ou de qualquer forma inutilizar, senha ou qualquer outro mecanismo
de acesso a computador, programa de computador ou dados, de forma indevida ou não
autorizada:
Pena: detenção, de um a dois anos e multa.
Parágrafo único. O autor é punível ainda que permaneça a
possibilidade de acesso ao computador, programa de computador ou dados.
Seção IV - Obtenção indevida ou não autorizada de dado ou instrução de computador
Art. 11. Obter, manter ou fornecer, sem autorização ou indevidamente, dado ou instrução de
computador:
Pena: detenção, de três meses a um ano e multa.
Parágrafo único. Se o crime é cometido:
I - com acesso a computador ou rede de computadores da União, Estado, Distrito Federal,
Município, órgão ou
entidade da administração direta ou indireta ou de empresa concessionária de serviços
públicos;
II - com considerável prejuízo material ou moral para a vítima;
III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV - com abuso de confiança;
V - com o uso indevido de senha ou processo de identificação de terceiro; ou
VI - com a utilização de qualquer outro meio fraudulento.
Pena: detenção, de um a dois anos e multa
Seção V - Violação de segredo armazenado em computador, meio magnético, de
natureza magnética, óptica ou similar
Art. 12. Obter segredos, de indústria ou comércio, ou informações pessoais armazenadas em
computador,
rede de computadores, meio eletrônico de natureza magnética, óptica ou similar,de forma
indevida ou não autorizada:
Pena: detenção, de um a três anos e multa.
§ 10. Considera-se segredo de indústria um método ou meio especial de fabricação,
patenteável ou não que é mantido em sigilo.
§ 20. Considera-se segredo de comércio todas as informações especiais concernentes ao
âmbito dos negócios em geral que devem ser mantidas sob reserva, sob risco de causar
prejuízo.
§ 3O. Aplica-se a pena imposta neste artigo sem prejuízo de outros crimes cometidos pelo
autor.
Seção VI- Criação, desenvolvimento ou inserção em computador de Dados ou
programa de computador com fins nocivos
Art. 13. Criar, desenvolver ou inserir, dado ou programa em computador ou rede de
computadores, de forma indevida ou não autorizada, com a finalidade de apagar, destruir,
inutilizar ou modificar dado ou programa de computador ou de qualquer forma dificultar ou
impossibilitar, total ou parcialmente, a utilização de computador
ou rede de computadores:
Pena: reclusão, de um a quatro anos e multa.
Parágrafo único. Se o crime é cometido:
I - contra interesse da União, Estado, Distrito Federal, Município, órgão ou entidade da
administração direta ou indireta ou de empresa concessionária de serviços públicos;
II - com considerável prejuízo material ou moral para a vítima;
III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV - com abuso de confiança;
V - com o uso indevido de senha ou processo de identificação de terceiro; ou
VI - com a utilização de qualquer outro meio fraudulento.
Pena: reclusão, de dois a seis anos e multa.
Seção VII - Veiculação de pornografia através de rede de computadores
Art. 14. Oferecer serviço ou informação de caráter pornográfico ou de sexo explícito, em rede
de computadores, sem exibição prévia, de forma facilmente visível e destacada, aviso sobre
sua natureza, indicando o seu conteúdo e a inadequação para criança ou adolescente:
Pena: detenção, de um a três anos e multa.
Art. 15. Publicar em rede de computadores cena de sexo explícito ou pornográfica
envolvendo criança ou adolescente:
Pena: reclusão, de dois a seis anos e multa.
CAPÍTULO IV DAS DISPOSIÇÕES FINAIS
Art. 16. Se qualquer dos crimes previstos nesta lei é praticado no exercício de atividade
profissional ou funcional, a pena é aumentada de um sexto até a metade.
Art. 17. Os crimes definidos nesta lei somente se procede mediante representação do
ofendido, salvo nas hipóteses dos artigos 14 e 15 acima ou se cometidos contra o interesse da
União, Estados, Distrito Federal Município, órgão ou entidade da administração direta ou
indireta, empresa concessionária de serviços públicos, fundações instituídas ou mantidas pelo
poder público, serviços sociais autônomos, instituições financeiras ou empresas que explorem
ramo de atividade controlada pelo poder público, casos em que a ação é pública
incondicionada.
Art. 18.- Esta lei regula os crimes relativos à informática sem prejuízo das demais
cominações previstas em outros diplomas legais.
Art. 19. Esta lei entra em vigor 30 (trinta) dias a contar da data de sua publicação.
Bibliografia
BARRA, Estudos jurídicos em homenagem a Manoel Pedro Pimentel. 1º edição.
 Editora RT. São Paulo. 1992.
CORRÊA, Gustavo Testa. Aspectos jurídicos da Internet. 1º edição. Editora Saraiva.
 São Paulo. 2000.
COSTA, Marco Aurélio. Crimes de Informática III - Direito Penal de Informática.
 Monografia publicada na Internet. Uruguaiana – RS. Sem data.
GOUVÊA, Sandra. O Direito na era digital. 1º edição. Editora Mauad. Rio de Janeiro.
 1997.
JESUS, Damásio Evangelista. Direito Penal. 20º edição. Editora Saraiva. São Paulo.
 1998.
JÚNIOR, João Marcelo Araújo, Computer Crime: Conferência Internacional de Direito
 Penal, 1988. Anais. Rio de Janeiro: Procuradoria Geral da Defensoria Pública,
 1988.
LANGE, Denise Fabiana. O impacto da tecnologia digital sobre o Direito de Autor e
 conexos. 1º edição. Editora Unisinos. São Leopoldo. 1996.
LICKS, Otto Banho e JUNIOR, João Marcelo de Araújo. Aspectos penais dos crimes de
 informática no Brasil. 1º edição. Editora Revista dos tribunais. Rio Grande do Sul.
 1994.
LUCCA, Newton de, FILHO, Adalberto Simão. Direito e Internet – Aspectos jurídicos
 relevantes. 1º edição. Editora Edipro. São Paulo. 2000.
MIRABETE, Julio Fabrini. Manual de Direito Penal. 13º edição. Editora Atlas. São
 Paulo.1998.
PIMENTEL, Alexandre Freire. O Direito Cibernético um enfoque teórico e lógico
 aplicativo. 1º edição. Editora Renovar. Rio de Janeiro. 2000.