Nesta semana a Polícia Federal deflagrou a Operação Spoofing, que prendeu em caráter temporário quatro pessoas investigadas pela suposta invasão de telefones e obtenção de dados do ministro da Justiça, Sérgio Moro, e de outras autoridades. Danilo Cristiano Marques, Gustavo Henrique Elias Santos, Suelen Priscila de Oliveira e Walter Delgatti Neto foram detidos nas cidades de São Paulo, Ribeirão Preto e Araraquara.
As práticas apontadas nas acusações e suspeitas dos investigadores são disciplinadas pela Lei de Crimes Cibernéticos. A norma ganhou à época da aprovação o nome de “Lei Carolina Dieckman”, em referência à atriz, vítima de invasão de aparelhos eletrônicos pessoais e divulgação de imagens íntimas. A Lei atualizou o Código Penal (Decreto-Lei nº 2.848, de 7 de dezembro de 1940) para incluir no rol de crimes elencado neste também delitos cibernéticos.
O Artigo 154-A do Código Penal passou a prever como crime “invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”.
A pena prevista é de três meses a um ano, além de multa. Mas a sanção pode ser aumentada em determinados casos. Entre eles se as vítimas forem autoridades como o presidente da República, Supremo Tribunal Federal, Câmara, Senado e assembleias legislativas e câmaras de vereadores, além de governadores e prefeitos. Se a invasão servir para obter “obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas”, o tempo de detenção pode ir de seis meses a dois anos.
Finalidade
Para o advogado criminalista e professor do Instituto de Direito Público Fernando Parente, para serem enquadrados no Artigo 154-A, é preciso comprovar que houve finalidade de “obter vantagem ilícita”. Aí entra como uma parte importante da investigação da identificação da origem de movimentações financeiras incompatíveis com as rendas de parte dos detidos. A PF indicou que, entre 18 de abril e 29 de junho, Gustavo movimentou em sua conta bancária R$ 424 mil e Suelen, pouco mais de R$ 203 mil entre 7 de março e 29 de maio.
Contudo, complementa o docente, se não for comprovada a obtenção de vantagem ilícita a depender das investigações haveria a possibilidade de condenação por “interceptação de comunicações telefônicas, de informática ou telemática”, conforme previsto no Artigo 10o da Lei 9.296 de 1996. Neste caso, a reclusão prevista é de 2 a 4 anos. Se fosse identificação de uma prática recorrente e com diversas vítimas, ao delito poderia ser agregado outro, de organização criminosa.
Mais vítimas
A PF suspeita que outras pessoas tenham sido vítimas de invasão. Na quarta-feira (24), investigadores da corporação concederam entrevista coletiva na qual disseram que aproximadamente mil números “foram alvo desse modus operandi por essa quadrilha”, conforme definiu o coordenador-geral de inteligência, João Xavier Filho. Mas o total de vítimas ainda está sendo analisado.
O próprio ministro da Justiça passou a comunicar outras autoridades dessa condição. O presidente do Supremo Tribunal de Justiça, João Otávio Noronha, publicou nota na qual relatava ter recebido a informação de Moro de que estaria na lista de pessoas alvo dos ataques cibernéticos. “O ministro do STJ disse que está tranquilo porque não tem nada a esconder e que pouco utilizava o Telegram”, destacou a Corte no comunicado.
Provas
Na mesma nota, o STJ registrou que o ministro teria manifestado intenção de destruir o conteúdo das mensagens acessadas pelos investigados. A declaração trouxe uma polêmica jurídica sobre a intenção sugerida. A Ordem dos Advogados do Brasil solicitou ao juiz do caso, Vallisney de Souza Oliveira, da 10ª Vara Federal em Brasília, que fossem “expedidas ordens judiciais para que as autoridades policiais, o Exmo. Ministro da Justiça e os demais interessados nas investigações se abstenham da tomada de quaisquer medidas que possam levar ao comprometimento da integridade do material probatório coligido na Operação Spoofing”.
Em outra nota, divulgada ontem, a Polícia Federal afirmou que a Operação Spoofing não tem como objeto “a análise das mensagens supostamente subtraídas de celulares invadidos”, que “o conteúdo de quaisquer mensagens que venham a ser localizadas no material apreendido será preservado” e que “caberá à justiça, em momento oportuno, definir o destino do material, sendo a destruição uma das opções”.
Na avaliação do advogado criminalista André Hespanhol, não cabe ao Ministro da Justiça qualquer decisão sobre o material probatório, mas ao Poder Judiciário, respeitando-se o devido processo legal. “Não faz parte de suas atribuições interferir em investigações sigilosas. Não cabe ao Ministro de Estado tomar ciência e conduzir diligências em inquérito por ele ‘escolhido’ segundo critérios próprios, sobretudo quando já há medidas determinadas pelo Poder Judiciário, pressupondo-se, portanto, a existência de um filtro mínimo sobre a legalidade e controle da atividade policial e, inclusive, a atuação do Ministério Público. Menos ainda quando o Ministro é pessoalmente interessado”, comenta.
Segundo o advogado, cabe ao Poder Judiciário definir se uma prova é lícita ou não, o que poderá ser feito com elas, quando e como, “dentro das prescrições legais e das balizas estabelecidas na jurisprudência dos Tribunais Superiores”. “Aquelas provas podem ser usadas não só para a acusação dos autores da conduta apontada como criminosa, sua extensão, potencial lesivo e até mesmo outros atores, mas, fundamentalmente, para a defesa de tais indivíduos e terceiros naquele contexto implicado”, acrescenta.
Cuidados
Para o advogado especialista em direito digital Luís Fernando Prado, não somente autoridades mas todo cidadão está sujeito à invasão de celulares ou outros dispositivos informáticos. Caso um indivíduo verifique essa situação pode procurar uma delegacia especializada em crimes cibernéticos e solicitar uma investigação sobre o ocorrido e os responsáveis. Outra alternativa é abrir um processo na esfera civil para exigir reparação, como a condenação por danos morais.
Além disso, o advogado sugere a adoção de medidas imediatas logo após a ciência de um ataque. “A primeira recomendação é trocar a senha não só naquele dispositivo mas em todos os outros. O segundo passo é ativar dupla autenticação, que hoje diversos serviços possuem. A terceira é preservar as provas. Se houve transação indevida na minha conta, tenho que reunir provas que não fiz aquilo”, aconselha.