Se for mesmo aprovado o projeto de lei substitutivo de crimes cibernéticos, proposto pelo Senador Eduardo Azevedo, que passou ontem na Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT) do Senado, usar Windows sem anti-vírus atualizado meio que passa a ser crime punível com prisão e multa.

Atenção para as atualizações abaixo.

Infelizmente, usar um notebook educacional OLPC, emprestar o celular pro amigo, usar telefone com ou sem fio ou secretária eletrônica digital, colocar uma recém-lançada TV Digital ou DVD player com controle remoto perto da janela (ou assistir a eles através da janela do vizinho) passam a ser crimes puníveis com cadeia e multa.

(I)Legal, né?


Vejamos... O substitutivo (a partir da página 16), em seus artigos 1º a 8º, altera o Código Penal (Comum), e, em seus artigos 9º a 12, altera o Código Penal Militar.

Para quem imagina que os crimes especificados no Código Penal Militar se apliquem apenas a militares, ressalto a redação do próprio código (grifo meu):

Art. 9º - Consideram-se crimes militares, em tempo de paz:

I - os crimes de que trata este Código, quando definidos de modo diverso na lei penal comum, ou nela não previstos, qualquer que seja o agente, salvo disposição especial;

[...]

O artigo 5º do substitutivo introduz um novo artigo no Código Penal:

Art. 266-A. Difundir, por qualquer meio, programa, conjunto de instruções ou sistema informatizado com o propósito de induzir alguém a fornecer, espontaneamente e por qualquer meio, dados ou informações que facilitem ou permitam o acesso indevido ou sem autorização, a dispositivo de comunicação ou a sistema informatizado, ou a obtenção de qualquer vantagem ilícita:

Pena – detenção de um a dois anos.

Ou seja, se alguém invade seu computador e coloca uma página de phishing, você também é criminoso. Se você tem instalado em seu computador, mesmo que sem seu conhecimento, um vírus, verme ou similar, que tente encontrar vulnerabilidades em outros sistemas para neles instalar páginas de phishing, ou que divulgue e-mails com conteúdo de phishing, você também vai pra cadeia.

Vai continuar usando sistemas operacionais conhecidos por sua insegurança e por sua preocupação em negar ao usuário a informação que necessitaria para tomar decisões informadas sobre o que está prestes a instalar em seu computador, ou que sai rodando o conteúdo AutoRun de um CD se você não aperta Shift enquanto o carrega?

É óbvio que, mesmo sistemas operacionais projetados com preocupação de segurança e informação ao usuário estão sujeitos a defeitos, portanto o projeto de lei, se aprovado, tornará qualquer usuário de computador que não seja um paranóico especialista em segurança computacional um criminoso acidental em potencial.

O artigo 11º do substitutivo introduz artigo com a mesma redação no Código Penal Militar, Art. 281-A. Por ter a mesma redação, dado o trecho do artigo 9º do Código Penal Militar acima, parece-me (não sou advogado) que não se aplicaria a civis, mas caracterizaria crime militar em tempo de paz quando praticado por militar.


O artigo 2º do substitutivo introduz no Código Penal:

Art. 154-A. Acessar indevidamente, ou sem autorização, dispositivo de comunicação ou sistema informatizado:

Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.

§ 1º Nas mesmas penas incorre quem fornece a terceiro meio indevido ou não autorizado de acesso a dispositivo de comunicação ou sistema informatizado.

§ 2º Somente se procede mediante representação, salvo se o crime é cometido contra a União, Estado, Município, empresa concessionária de serviços públicos, agências, fundações, autarquias, empresas públicas ou sociedade de economia mista e suas subsidiárias.

E define:

Art. 154-C. Para os efeitos penais, considera-se:

I – dispositivo de comunicação: o computador, o computador de mão, o telefone celular, o processador de dados, os meios de armazenamento de dados digitais, ou qualquer outro meio capaz de processar, armazenar ou transmitir dados utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia digital.

II – sistema informatizado: a rede de computadores, o equipamento ativo da rede de comunicação de dados com ou sem fio, a rede de telefonia fixa ou móvel, a rede de televisão, a base de dados, o programa de computador ou qualquer outro sistema capaz de processar, armazenar ou transmitir dados eletronicamente.

Tipo assim, uma TV Digital, um DVD (player e mídia), câmera e filmadora digital, PDAs, agendas eletrônicas, são todos dispositivos de comunicação.

São sistemas informatizados, entre outros, um OLPC ou qualquer outro equipamento com rede mesh, um computador equipado com rede com ou sem fio que o torne um roteador, qualquer programa ou equipamento eletrônico de telefonia, com ou sem fio, convencional ou VoIP. Além de todos os dispositivos de comunicação acima, claro.

O Art. 10º do substitutivo introduz, de maneira semelhante, os artigos 339-A e 339-C no Código Penal Militar. Curiosamente, a ressalva do § 2º do 154-A não está presente no 339-A. Ao invés dela, aparece:

§ 2º A pena é aumentada de sexta parte, se o agente se vale de anonimato, de nome suposto ou da utilização de identidade de terceiros para a prática de acesso.

Não sendo advogado, não sei dizer se isso quer dizer que o acesso indevido ou não autorizado a uma câmera digital ou celular perdido, percentente a um particular, pra tentar descobrir quem é seu dono, é crime militar na ausência de representação, ou se ainda vale a ressalva e permanece como crime civil. Se o celular estiver bloqueado, com uma daquelas senhas padrão tipo 1234, a coisa complica mais ainda, porque aí a pena aumenta caso o crime seja caracterizado como militar, por exemplo, por ter sido praticado por um gentil policial militar.

De todo modo, a diferença entre os dois artigos é, no mínimo, curiosa.


Fica claro, pelo caput dos artigos 154-A e 339-A, que assistir à TV Digital (ou a um DVD) do vizinho através da janela seria crime, com ou sem usar um controle remoto compatível, punível com 2 a 4 anos de detenção e multa. Mesma coisa se usar o celular ou telefone fixo do amigo pra fazer uma ligação, ou se usar o computador do amigo para qualquer finalidade.

O curioso é que o próprio vizinho dono do aparelho de TV Digital, ou amigo dono do telefone, celular ou computador conectado a rede local ou Internet, também vira criminoso, por força do § 1º, a não ser que tome o cuidado de cadastrar formalmente aqueles que têm autorização, e impeça os demais de ter acesso. Isso por causa da última sentença do caput do Art 14 do substitutivo (grifo meu):

Art. 14 Todo aquele que torna disponível o acesso a uma rede de computadores somente admitirá como usuário pessoa ou dispositivo de comunicação ou sistema informatizado que for autenticado conforme validação positiva dos dados cadastrais previamente fornecidos pelo contratante de serviços. A contratação dar-se-á exclusivamente por meio formal, vedado o ajuste meramente consensual.

§ 1º O cadastro mantido por aquele que torna disponível o acesso a uma rede de computadores conterá obrigatoriamente as seguintes informações prestadas por meio presencial e com apresentação de documentação original: nome de acesso; senha de acesso ou mecanismo similar; nome completo; endereço completo com logradouro, número, complemento, código de endereçamento postal, cidade e estado da federação; número de registro junto aos serviços ou institutos de identificação das Secretarias de Segurança Pública Estaduais ou conselhos de registro profissional; número de inscrição no Cadastro de Pessoas Físicas (CPF), mantido pelo Ministério da Fazenda ou o Número de Identificação do Trabalhador (NIT), mantido pelo Ministério da Previdência Social.

Ou seja, pra emprestar o telefone (que confere acesso à rede de telefonia, composta basicamente de computadores que desempenham a função de centrais telefônicas) ou um computador com dispositivo Bluetooth (um tipo de rede de curta distância cada vez mais comum) pra um amigo, ou mesmo para recebê-lo em casa para assistir à TV Digital, precisa de um contrato formal para não ir pra cadeia. Fantástico, não?


Ah, e não adianta dizer que não fez ou já apagou o cadastro, pois o substitutivo proíbe essa prática, adicionando ao Código Penal:

Art. 154-E. Deixar de manter, aquele que torna disponível o acesso a rede de computadores, os dados de conexões e comunicações realizadas por seus equipamentos, aptas à identificação do usuário, endereços eletrônicos de origem e destino no transporte dos registros de dados e informações, data e horário de início e término da conexão, incluindo protocolo de internet ou mecanismo de identificação equivalente, pelo prazo de cinco anos.

Pena – detenção, de dois a seis meses, e multa.

Art. 154-F. Permitir, aquele que torna disponível o acesso a rede de computadores, a usuário, sem a devida identificação e autenticação, qualquer tipo de acesso ou uso pela rede de computadores.

Pena – detenção, de um a dois anos, e multa.

e os artigos de 339-E e 339-F, de redação idêntica, no Código Penal Militar.

Mas peraí! Isso quer dizer que o responsável legal pelo aluno da rede pública que vier a receber um OLPC vai preso se a criança não desligar a rede Mesh do equipamento? Sim, pois a rede Mesh tem essa característica de que cada computador é um repetidor.

Se houver um deles perto do ponto de acesso à Internet da escola, ele vai estender o acesso para outros OLPCs ao seu redor. Cada um desses outros vai poder fazer a mesma coisa, possibilitando que apenas um ponto de acesso na cidade leve Internet à cidade inteira, dependendo da distribuição dos alunos na cidade. Assim, todos eles podem fazer a lição de casa pesquisando na Internet.

E, se a distribuição das casas dos alunos for tal que alguns deles estejam distantes demais de outros para ter um caminho de roteamento até a escola, eles vão estabelecer uma rede sem fio entre si, permitindo a colaboração e a comunicação independente da Internet. Ou, um deles pode contratar acesso à Internet e compartilhar com os demais.

Ou, poderia, pois caso o projeto de lei vire lei, vai exigir que cada dono de um OLPC cadastre os donos de outros computadores através dele conectados à rede, Internet ou local sem fio. Não só isso, mas o software precisaria ser configurado para armazenar todo o histórico de conexões e roteamento na já escassa memória não volátil do computador. Pior ainda quando o computador estiver desligado, pois o OLPC continua funcionando como roteador mesmo desligado, e aí não tem como armazenar nada. Até parece que esse projeto de lei quer acabar com o OLPC!

Será que só eu e outros 1400 e poucos brasileiros achamos que esse projeto está completamente fora da realidade?

E olha que eu nem abordei neste artigo as questões de privacidade e liberdades civis destroçadas pelo projeto de lei.

A sociedade brasileira não pode permitir que os interesses de bancos em facilitar o processo de investigação de fraudes eletrônicas destrua ou limite severamente as vantagens para comunicação, compartilhamento, liberdade de expressão, educação e entretenimento proporcionadas pela tecnologia contemporânea.

As desculpas relacionadas à investigação criminal são apenas uma forma de erodir ainda mais as liberdades individuais, colocando todos os cidadãos à mercê de arbitrariedades do poder público. Ah, 1984...

Vale notar que, liderando a petição contra o projeto de lei, está a SaferNet, uma organização que se dedica, entre outras atividades, ao combate, juntamente com agentes da lei, aos crimes cibernéticos como a distribuição de pornografia infantil na Internet.

Se essa própria organização, que tanto se vale de informações sobre usuários mantidas por provedores para localizar criminosos, está preocupada com os abusos e exageros do projeto de lei, todos nós deveríamos também estar.

Então, entre em contato com os legisladores federais (deputados e senadores) que representam seu estado e informe-os sobre tudo que você gostaria de poder continuar fazendo e que esse projeto de lei vai proibir diretamente ou inviabilizar de maneira indireta: desde manter sua privacidade e contratar serviços telefônicos (inclusive VoIP) ou eletrônicos sem necessidade de cadastro presencial, até poder usar um roteador ou telefone sem fio em sua casa sem precisar escolher entre ir pra cadeia e se transformar em especialista em segurança.

Até blogo...

Atualizado 2007-12-13 04:15 UTC:

Meu amigo advogado Omar Kaminski publicou o substitutivo que passou pela Comissão do Senado ontem. Tem várias modificações em relação ao original que comentei acima, que era parte do parecer da Comissão de Educação.

O aumento de pena do 339-A (militar) agora aparece também no 154-A (civil), mas a exceção ainda é exclusiva ao civil. Esses artigos, na última versão, criminalizam também o acesso não autorizado a redes de computadores, e quem permite ou facilita o acesso não autorizado:

Art. 154-A. Acessar rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização do legítimo titular, quando exigida:

Pena - reclusão, de 2 (dois) a 4 (quatro) anos, e multa.

§ 1o Nas mesmas penas incorre quem, permite, facilita ou fornece a terceiro meio não autorizado de acesso a rede de computadores, dispositivo de comunicação ou sistema informatizado.

Nos artigos 154-C e 339-C, se acrescenta a definição:

III – rede de computadores: os instrumentos físicos e lógicos através dos quais é possível trocar dados e informações, compartilhar recursos, entre máquinas, representada pelo conjunto de computadores, dispositivos de comunicação e sistemas informatizados, que obedecem de comum acordo a um conjunto de regras, parâmetros, códigos, formatos e outras informações agrupadas em protocolos, em nível topológico local, regional, nacional ou mundial;

deixando claro que se aplicam também redes telefônicas, celulares, etc.

Artigos 154-E e 154-F (civil), assim como 339-E e 339-F (militar) não são mais adicionados. Em seu lugar, e no lugar do Art. 14 da versão anterior, aparece no próprio substitutivo:

Art. 23. O responsável pelo provimento de acesso a rede de computadores é obrigado a:

I – manter em ambiente controlado e de segurança, pelo prazo de três anos, com o estrito objetivo de provimento de investigação pública formalizada, os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada por meio de rede de computadores e por esta gerados, cujo fornecimento será feito exclusivamente à autoridade investigatória e dependerá de prévia e expressa autorização judicial;

Ou seja, não precisa mais de cadastro presencial nem formal pra convidar os amigos pra assistir à TV Digital em casa, ou para lhes permitir usar o seu telefone. Ufa!

Mas o projeto de lei continua efetivamente proibindo o uso do OLPC e de roteadores ou modems caseiros com baixa capacidade de armazenamento.

Pra compensar o pequeno avanço acima, um tremendo passo para trás. Um artigo que não comentei da versão anterior tipificava o crime de dano por difusão de vírus eletrônico, de modo que o crime se caracterizava somente quando havia "finalidade de destruir, inutilizar ou dificultar o funcionamento [de dispositivo de comunicação ou sistema informatizado]."

Na versão atual, o artigo 266-A acima, sobre phishing, se move para 171-A, agora com título de "Difusão de Código Malicioso", e as criminalização de difusão de vírus agora se dá inclusive para a difusão passiva:

Art. 163-A/262-A. Criar, inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.

Pena: reclusão, de 1 (um) a 3 (três) anos, e multa.

Finalidade de dano e dano não intencional agora são agravantes, não mais necessário para caracterizar o crime. Curiosamente, a intenção de dano agrava menos que o dano não intencional:

§ 1º Se o crime é cometido com finalidade de destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:

Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.

§ 2º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado, e as circunstâncias demonstram que o agente não quis o resultado, nem assumiu o risco de produzi-lo:

Pena – reclusão, de 3 (dois) a 5 (cinco) anos, e multa.

§ 3º A pena é aumentada de sexta parte, se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime.

Ou seja, quem tem um computador conectado à Internet, toma medidas cabíveis de segurança e mesmo assim tem seu computador invadido e utilizado para difusão de vírus que acaba causando dano a outro, vai pra cadeia por 3 a 5 anos. Já quem criou o vírus e o colocou na rede para causar destruição vai preso por de 2 a 4 anos. Vai entender...

Outra que me tinha escapado:

Art. 183-A/267-A. Para efeitos penais, equiparam-se à coisa o dado, informação ou unidade de informação em meio eletrônico ou digital ou similar, a base de dados armazenada, o dispositivo de comunicação, a rede de computadores, o sistema informatizado, a senha ou similar ou qualquer instrumento que proporcione acesso a eles.

Anota aí: vai ter gente usando isso aí pra caracterizar cópia não autorizada (infração de direito autoral) como roubo qualificado. Já ouviu barbaridades como "pirataria é roubo"?

Por outro lado, 154-C e 339-C agora definem:

IV – código malicioso: o conjunto de instruções e tabelas de informações ou programa de computador ou qualquer outro sistema capaz de executar uma seqüência de operações que resultem em ação de dano ou de obtenção indevida de informações contra terceiro, de maneira dissimulada ou oculta, transparecendo tratar-se de ação de curso normal;

Será esse o fim dos DRMs espiões, como o Rootkit da Sony, do WGA e do envio sorrateiro de informações pessoais pelo MS-Windows Update, e da adulteração de votos nas urnas eletrônicas?

Ah, espere, mas esse último já era crime antes, mas provavelmente o TSE vai continuar proibindo todas as formas de comprová-lo.

Até blogo...