Tribual de première instance Guimarães (Portugal) - Chambre criminelle 26 juin 2007 ___________________________________________________________________________ Sources : Alves Pereira & Teixeira de Sousa (réseau Lexing) ___________________________________________________________________________ Tribunal Judicial da Comarca de Guimarães, Acórdão de 26 Jun. 2007, Processo 001/07 Processo: 001/07 Jurisdição: Criminal JusNet 8521/2007 Texto I RELATÓRIO O Digno Magistrado do Ministério Público submeteu a julgamento, com intervenção do Tribunal Colectivo (1) . Tiago, casado, técnico de informática, filho de Licinio e de Mónica, nascido a 8 de Julho de 1966, natural de Massarelos, Porto, residente xxxx, Viseu. Imputando-lhe a autoria material, em concurso real, de dois crimes de acesso ilegítimo, previstos e puníveis pelos artigos 2° alíneas b) e c) e 7° n°s 1 e 2 da Lei n° 109/9 1 de 17 de Agosto, um crime de sabotagem informática, previsto e punível pelos artigos 2° alíneas b), c) e g) e 6° n°s 1 e 2 da Lei n° 109/91 (em concurso aparente com um crime de dano relativo a dados ou programas informáticos, previsto e punível pelos artigos 2° alíneas c) e g) e 5° n°s 1 e 3 da mesma lei) e um crime de sabotagem informática, previsto e punível pelos artigos 2° alíneas b) e c) e 6° n°s 1 e 2 da Lei n° 109/91 (em concurso aparente com um crime de dano relativo a dados ou programas informáticos, previsto e punível pelos artigos 2° alínea c) e 5° n°s 1 e 3 da mesma lei). Após o despacho que designou data para julgamento não ocorreu qualquer nulidade. Mantém-se a validade e a regularidade formal da instância, pelo que nada obsta à decisão de mérito. O arguido não apresentou contestação nem arrolou testemunha de defesa. Procedeu-se a julgamento com cumprimento do formalismo legal. 1 II FUNDAMENTAÇÃO DE FACTO Da audiência de discussão e julgamento resultaram provados os seguintes factos: 1. O arguido é técnico de informática, actividade em que foi adquirindo conhecimentos, designadamente, a nível de sistemas operativos como Windows e Linux. 2. Alguns desses conhecimentos foram obtidos tendo como principal fonte a Internet. 3. O arguido usava na Internet a designação de "mortalhas" nome que atribuiu às contas que abriu no ISP NETC com a conta de correio electrónico yy. 4. O arguido acedia à Internet maioritariamente através do n° de telefone n, instalado na sua residência, e criou, ainda, um site com o endereço http:. 5. Neste contexto, em data indeterminada mas anterior a Março de 2001, o arguido decidiu tomar-se um "hacker" e um "craker", penetrando em diversos sites de acesso reservado, usando para tal os conhecimentos que foi obtendo da Internet sobre como quebrar as seguranças dos diversos sistemas, explorar vulnerabilidades dos servidores IIS (Internet Information Server) e, dessa forma, violando as regras de segurança, aceder aos computadores, sistema informático e bancos de dados dos visados e executar comandos privilegiados no respectivo sistema. 6. Para isso, utilizava um método que consistia na utilização de programas com códigos sequenciais, através da introdução dos comandos "cmd.exe" e "set" que funcionavam no sistema operativo que tinha instalado no computador portátil marca "Toshiba", descrito a fls. 2 do anexo I, programas aqueles que lhe permitiam aceder aos sistemas Windows NT e Windows 2000 e Servidores IIS 4 e 5 (Servidores Web) contornando a utilização do nome do utilizador e password exigidos por esses sistemas para o respectivo acesso. 7. Quando acedia àqueles sistemas informáticos o arguido ficava com o poder de criar e destruir ficheiros dos sistemas acedidos, o que fazia e fez com o intuito de entravar ou perturbar o funcionamento do sistema informático a que acedia, finalizando, normalmente, a sua acção com a introdução de ficheiros que funcionavam como a sua marca pessoal ou assinatura. 8. Para além daquela intenção, o arguido também tinha em vista a pretensão de ganhar notoriedade no meio informático cibernáutico onde e se movia, fazendo inserir no seu site http: todos os seus ataques, onde também publicitava e fornecia diversa informação confidencial ou privilegiada das entidades lesadas durante os seus ataques. 9. No dia 2 de Junho de 2001 pessoa não identificada acedeu ao site da Comissão de Mercado de Valores Mobiliários com o endereço http: e, com o auxílio de ferramentas informáticas, contornou as palavras-chave específicas só conhecidas por um número restrito de funcionários da CMVM, vindo a aceder á zona confidencial e reservada dos computadores e sistema informático da mesma. 10. Depois de ter acedido ao sistema, com intenção de entravar e perturbar o funcionamento do sistema informático da CMVM, a pessoa referida em 9) eliminou diversos ficheiros ali existentes, designadamente, aqueles que possuíam a extensão ".ini", ficheiros esses que continham informação de arranque e informação de manutenção do software da máquina. 11. Depois de ter eliminado aqueles ficheiros e antes de abandonar o sistema informático da CMVM, a pessoa referida em 9) fez inserir/introduzir no disco C do computador dessa entidade o ficheiro "assim.falou.zaratustra" e yy e no disco D "o.vosso.sistema.está.nas.minhas.mãos". 12. Quando funcionários da CMVM verificaram a intromissão e reiniciaram o sistema, este não arrancou, dando a informação de que faltam ficheiros do sistema operativo (Microsoft Internet 2 Information Server 4.0) essenciais para o funcionamento do computador, ficheiros esses que a pessoa referida em 9) tinha eliminado no acesso. 13. O site da CMVM contém, entre muitos outros conteúdos, um "Sistema de Difusão de Informação" nos termos do artigo 367° do Código dos Valores Mobiliários, que inclui a difusão aos mercados de valores mobiliários de factos relevantes ocorridos na esfera das entidades emitentes, factos assim classificados por influírem no preço dos valores mobiliários negociados nas Bolsas de Valores do Porto e de Lisboa. 14. Por força da acção descrita em 10) e propósito da pessoa referida em 9), o site da CMVM esteve inacessível ao público nos dias 5, 6 e parte do dia 7 de Junho de 2001 e, com isso, a disponibilização daquele "Sistema de Difusão de Informação", ao público em geral e entidades financeiras em particular, tempo esse em que decorreram as necessárias operações de reposição daquilo que havia sido eliminado pela pessoa referida em 9). 15. A informação daquele "Sistema de Difusão de informação" apenas foi realizada através da implementação de um sistema alternativo de "mailing list" e somente para destinatários conhecidos. 16. A acção referida em 10) implicou, ainda, trabalho ininterrupto por banda da CMVM, que se prolongou entre a manhã do dia 5 e as 12h30 do dia 7 de Junho de 2001, para recuperação, para um novo computador, e a reconstituição de todo um sistema que vinha sendo desenvolvido há vários anos por aquela entidade, causando-lhe um prejuízo superior a € 5.000 (cinco mil euros). 17. Entusiasmado com os resultados das investidas a diversos sites, no dia 5 de Agosto de 2001, pelas 13h14, através do IP 213.30.18.110 e daquele n° de telefone n, de sua residência, o arguido acedeu ao sistema informático da Europol através do site dessa entidade em Haia, com o endereço http :. 18. A despeito de não ter autorização para aceder a tal sistema informático, o arguido, com o auxílio daquelas suas ferramentas informáticas contornou as palavras-chave específicas só conhecidas por um número restrito de funcionários da Europol, vindo a aceder, dessa forma, à zona confidencial e reservada dos computadores e sistema informático dessa entidade. 19. Depois de ter entrado por aquela forma naquele sistema, e com o intuito de entravar e perturbar o funcionamento do mesmo e elevar o grau de notoriedade dentro do meio cibernáutico, o arguido destruiu diversos dados contidos em ficheiros, designadamente, apagou os "logs" da sua entrada na máquina, bem como toda a directoria "winnt" com os ficheiros destinados ao bom funcionamento do servidor, removeu o conteúdo das pastas webtemp (sofware de instalação temporária para correcção de falhas) e hotfix (que corresponde a directorias de actualização) e um ficheiro da pasta www.root (que contém a estrutura da página de acesso ao site), assim como fez inserir no disco rígido do computador os ficheiros "yy" (news.txt) e http:. 20. No primeiro ficheiro o arguido deixou a seguinte mensagem: "You have been hacked. Tonight your site will be aded to the shits Iists of hached government sites. (...) Kind regards from, mortalhas". 21. Na sequência de busca domiciliária realizada à residência do arguido foram apreendidos os objectos descritos a fls. 47, todos eles relacionados com a descrita actividade do mesmo. 22. O arguido conhecia os factos descritos, quis actuar da forma que o fez, bem sabendo que: - não estava autorizado a entrar no sistema e programa informático referido em 17); - o fazia contornando, através de ferramentas e conhecimentos que adquiriu, os sistemas de segurança do site da Europol, violando as regras de segurança para obter para si a referida notoriedade; 3 - naquela acção apagou diversos ficheiros que continham dados imprescindíveis ao funcionamento dos programas e sistema informático da Europol; - o fez Com o intuito concretizado de causar prejuízo à Europol e de perturbar e interferir no sistema informático desta; - as suas condutas eram proibidas e punidas por lei. 23. O arguido foi condenado: - por sentença de 15 de Dezembro de 1988 do Tribunal Militar de Lisboa, na pena de três meses de prisão militar, pela prática de um crime de ofensas corporais praticado em 25 de Fevereiro de 1988; - por acórdão de 5 de Abril de 1991 do 1° Juízo Criminal do Porto, na pena de seis anos de prisão, à qual foi perdoado um ano por aplicação da lei de amnistia n° 23/91 de 4 de Julho, pela prática de um crime de homicídio tentado, praticado em 19 de Agosto de 1990; - por sentença de 16 de Novembro de 1992 da 2ª secção do Tribunal Judicial de Paços de Ferreira, na pena de 40 dias de prisão e 20 dias de multa à taxa diária de Esc. 200$00, pela prática de um crime de consumo de estupefacientes em 4 de Outubro de 1991; por sentença de 5 de Novembro de 2001 do 3° Juízo Criminal de Braga., na pen a de sete meses de prisão suspensa na sua execução pelo período de dezoito meses, sob condição de entregar no prazo de oito dias a carta de condução, Esc. 20.800$00 a favor da Cruz Vermelha e não ser portador ou detentor de arma durante esse período, pela prática de um crime de desobediência, praticado em 13 de Fevereiro de 2000, que foi declarada extinta. Não se provaram quaisquer outros factos, designadamente, que: - o arguido seja conhecido pela alcunha "RRR"; que o arguido introduzisse nos sistemas acedidos ficheiros onde escrevia "assim.falou.RRR", "o seu sistema está inseguro" e/ou "o seu sistema está nas minhas mãos"; o arguido tivesse actuado da forma descrita em 9) a 11); o arguido soubesse do conteúdo referido em 13); ~ o arguido tivesse feito constar e divulgar no seu site as acções referidas em 17) a 20); o arguido tivesse iniciado a actividade, de hacker/cracker na manifestação de um desejo de vingança contra um despedimento de que fora alvo por banda da sua entidade empregadora. Motivação: O Tribunal formou a sua convicção baseando-se: » na comunicação de fls. 1 proveniente da Europol dando conta de uma intrusão no seu servidor em 5 de Agosto de 2001, através do IP 213.30.18.110 disponibilizado pelo operador netc.pt (Telecel); » na informação de fls. 3, prestada por Telecel sobre a utilização do IP 213.30.18.110 pelo telefone n° n entre as 13h51 e as 16h42; » nos prints de fls. 7 a 9 referentes à identificação do intruso no servidor da Europol, as mensagens deixadas, com a assinatura "mortalhas", a indicação do endereço electrónico yy e a referência à publicitação do ataque no site "http:" e na listagem das acções levadas a cabo durante a intrusão, designadamente, a deliberada eliminação dos ficheiros log (registo da sua entrada) e winnt; 4 » na impressão do conteúdo acessível no site "http:", a fls. 39 a 44, onde se anuncia um treino especial para hackers, a disponibilização de um cd com uma compilação de programas úteis e testados com actualização mensal e o plano de criação de uma variante do sistema operativo Linux especialmente vocacionado para o trabalho de hacker; » no auto de busca e apreensão de fls. 47 de dois computador (sendo um deles portátil), disquetes e dos conteúdos juntos nos anexos I e II; » no relatório da intrusão levada a cabo no servidor da Europol a partir das 13h51, a fls. 55 e 56, onde consta, além do já referido quanto aos prints de fls. 7 a 9, também a remoção das pastas hotfix e webtemp, assim como de um ficheiro da pasta wwwroot; » informação de lis. 60 e 89, prestada por Telecel relativo ao registo do endereço de email "yy" em nome de "Pepe" com acesso à Internet através do n° n; » nos prints de fls. 71 e 72 referente à intrusão no servidor da CMVM; designadamente, a introdução dos ficheiros assim.falou.RRR, yy, uhs.RRR, RRR.uhs e o vosso.sistema.esta.nas.minhas .maos; » no relatório de análise forense de fls.73 a 21 reportado à intrusão no servidor da CMVM, nomeadamente o traceroute do IP utilizado nessa acção . 210.78.31.71 - atribuído a Kevin Tan, sediado em Pequim (fls. 77 e 89); » no certificado de registo criminal de fls. 168 a 172 (também fls. 183 a 187); » no auto de exame directo que consta nas primeiras quatro páginas do anexo I, com destaque para o seguinte: resulta que o material extraído - que consta dos dois anexos - e objecto de análise existia no computador portátil apreendido ao arguido e que, realizada a pesquisa pelas palavras CMVM e Europol, nada resultou quanto à primeira, contudo, quanto à segunda, foram encontrados fragmentos de informação numa zona do sistema operativo marcada como espaço livre, mas contendo partes de ficheiros apagados, desses fragmentos consta: - uma linha que serve para explorar as vulnerabilidades de servidores de web e possibilita executar comandos no servidor, visualizando as variáveis globais e aceder a informação privilegiada (comando cmd.exe para abrir uma janela de DOS e comando "set" que permite criar, alterar e eliminar ficheiros) — impressa fls. 81 e 82, esta última no ficheiro incorporado numa página "html" onde se disponibiliza informações de acessos não autorizados a vários servidores de lnternet - cfr. fls. 83 a 86); - o endereço da Europol surge referenciado em textos de um histórico de comandos do sistema operativo "red hat Linux 7.0" instalado no computador apreendido ao arguido, sistema esse destinado a aceder a computadores remotos nacionais e internacionais (cfr. fls. 87); » no material extraído do computador apreendido ao arguido: Anexo 1: - fls. 88 (cfr. 116 e 117) relativo a uma mensagem enviada pelo arguido a António, em 11 de Abril de 2001, dizendo que publicara nesse dia o site htpp:. para a actividade que desenvolvia então, anunciando publicação de grandes novidades e referindo que as passwords do SIS haviam sido mudadas e que da próxima vez que fosse a esse servidor deixaria um rootkit; nessa mensagem refere que para criar tráfico underground no SIS iria publicar informação no novo site que criara e dá dicas para utilizar os endereços da Universidade Católica, ou pelo menos, dos seus estudantes; 5 - fls. 90 a 93 relativo à cópia do directório C:\MyDocuments\UHS\_notes onde constam pastas com nome "attack_minfinancas", "attack_nasa", "attack_ptelecom", "attack_sis", "attack_visa"; - fls. 94 a 99 relativo à publicação do resultado da intrusão no servidor SIS; - fls 100 a 104 relativo a publicação do resultado da intrusão no servidor do Ministério das Finanças; - fls. 107 mensagem que dá conta na intrusão do arguido no servidor de "M" em 16 de Julho de 2001 chamando a atenção para a necessidade de melhorar a segurança da rede; - fls. 112 a 114 dicas dadas pelo arguido a António em 21 de Junho de 2001 para aceder a diversos servidores; - fls. 115 referente a mensagens trocadas entre o arguido e Astalavista Security Group em 5 de Agosto de 2001 nas quais o primeiro dá conta da actualização do site http: e o anúncio da publicação do conteúdo de três novos sites governamentais e o Segundo felicita o arguido pelo conteúdo; - fls. 118 mensagens trocadas entre o arguido e António, em 20 de Março de 2001, em que o primeiro dá informações sobre o servidor do Ministério das Finanças, designadamente, revelando a password do Administrador; - fls. 119 a 121 mensagens trocadas entre linux.regiaocentro.net e o arguido, em 20 de Junho de 2001, no qual o primeiro dá conta de uma invasão do sistema e destruição de ficheiros, esclarece as consequências, designadamente criminais, das actividades de hacking e craking e o segundo confessa que deixou "rastos" propositadamente e que o IP corresponde à conta mortalhas; - fls. 122 e 123 onde consta o registo dos uploads de ficheiros que o arguido colocava no servidor da internet "yy", designadamente, em 5 de Agosto de 2001, pelas 5h10 e 17h17, este último posterior à intrusão no servidor da Europol; Anexo II: - fls. 3 a 24, guia explicativo para explorar vulnerabilidades no sistema operative "ntexploit"; - fls. 25 a 41, guia explicativo para explorar vulnerabilidades em servidores; - fls. 42 a 48, guia explicativo para ensinar como efectuar ataques "the whole-web spoofing"; - fls. 49 a 82, guia explicativo para ensinar como efectuar actividades de cracking; - fls. 83 a 97, guia explicativo para explorar vulnerabilidades nos cisco-systems; - fls. 99, registo no site Underground Hackers Society — http://uhs.00server.com — em 1 de Agosto de 2000 relacionado com o endereço electrónico uhs_yy em nome do arguido, indicando o n° de telefone n e a identificação da conta com o nome "yy"; - fls. 100, registo do endereço electrónico yy em nome de Pepe com anotações manuscritas a fls. 120 contendo o username de acesso e a password; 6 - fls. 101 a 103 registo a partir do e-mail mortalhas mortalhas III FUNDAMENTAÇÃO DE DIREITO Passemos, agora, à análise das normas necessárias ao enquadramento jurídico dos factos provados. A legislação relativa à criminalidade informática, em evolução desde o início dos anos 70, começou por apresentar preocupações relacionadas com a protecção da vida privada perante novas possibilidades de recolha, armazenamento, transferência e interconexão de dados pessoais potenciadas pelo meio emergente. A partir dos anos 80 sentiu-se necessidade de combater a delinquência económica específica da informática, pois começava a ser patente a existência de dificuldades na subsunção nas disposições de protecção da propriedade a realidade imaterial e intangível, como sucedia nos casos de manipulação do computador ou adulteração de programas a eles destinados. Em meados dessa década, o legislador procurou salvaguardar a propriedade intelectual através do direito de autor com tutela penal. Numa actual quarta vaga, as inovações são introduzidas sobretudo nível do direito processual com vista ao aperfeiçoamento da investigação (2). O círculo da criminalidade informática encontra-se actualmente delimitado pelos delitos que usam o computador como instrumento ou o têm por objecto (3) , bem como aqueles em que o ordenador, sendo ainda instrumento, é utilizado para violar direitos de personalidade. (4) . Procurando dar uma definição de criminalidade informática, a Royal Canadian Mounted Police (5) refere-se à mesma como qualquer actividade criminal que envolva a cópia, o uso, a transferência, a interferência, o acesso ou manipulação de sistemas de computador de dados ou programas de computador. Tradicionalmente esta vem sendo encarada como criminalidade de colarinho branco, dado o não uso de violência, a dissimulação com vista à obtenção de vantagens patrimoniais ou para evitar perdas, servindo-se os seus agentes da posição e conhecimentos próprios de uma profissão de nível técnico ou executivo elevado. No entanto, vem-se dando conta de um fenómeno de democratização dada a tipologia dos delinquentes (6), (7) . Bernardo (8) , por sua vez, entende que a criminalidade informática integra delitos caracterizados tipicamente por uma execução vinculada através de instrumentos informáticos e uma interferência — geralmente através de meios técnicos, especialmente informáticos — com o próprio meio informático: equipamentos, programas ou dados. Entre nós, para além dos tipos legais previstos no Código Penal, o legislador criou outros em legislação extravagante, mais concretamente, para o que importa no âmbito dos autos, nos artigos 4° a 9º da Lei n° 109/91 de 17 de Agosto (9) , (10) , (11) , (12) , (13) , (14) , (15) Interessa-nos particularmente analisar a sabotagem informática e o acesso ilegítimo. O artigo 6º do último diploma citado pune com pena de prisão até cinco anos ou multa até 600 dias o agente que introduzir, alterar, apagar ou suprimir dados ou programas informáticos ou, por qualquer forma, interferir em sistema informático, actuando com intenção de entravar ou perturbar o funcionamento de um sistema informático ou de comunicação de dados à distancia. Como refere o Prof. Miguel (16) , o objecto da protecção é o próprio valor do sistema informático, como unidade operacional que permite uma certa fluidez de comunicação e armazenagem de dados. 7 A informática surge, pois, como um bem autónomo que deixou de ser um mero meio para se tomar, ela própria, um núcleo de protecção criminal. Para este Autor (17) o tipo legal em causa não pretende senão proteger o normal fluxo de informação, desde que prosseguido por meios informáticos. No entanto, como bem refere Marta (18) , além do interesse público na segurança e regular funcionamento dos sistemas informáticos e vias de comunicação modernos, o valor económico dos dados também entra em consideração como resulta dos n°s 2 e 3. (19) A moldura eleva-se para um a cinco anos quando o dano emergente da perturbação seja de valor elevado (20) e de um a dez anos de prisão se tal dano for de valor consideravelmente elevado (21) . Segundo o Relatório do Conselho da Europa (22) a expressão "apagar" significa eliminar dados que figuram num suporte; designadamente, numa banda magnética ou noutro suporte de registo, enquanto "suprimir" significa reter ou ocultar dados dando como resultado a não introdução num tratamento em que seriam indispensáveis se fosse efectuada correctamente. No primeiro caso, os dados desaparecem em definitivo, enquanto no segundo são ocultados temporariamente. Cotejando o artigo 6º (23) com o artigo 5° do mesmo diploma, o qual prevê o dano relativo a dados ou programas informáticos, verificamos que a acção é parcialmente coincidente, traduzida pelos verbos "apagar" e "suprimir". Contudo, não só a acção danosa, implica, igualmente, destruir, danificar, tornar não utilizáveis ou afectar a capacidade de uso, como os dois tipos legais se afastam no respectivo âmbito de protecção e na intenção do agente (24) , (25) . Com efeito, no dano relativo a dados ou programas informáticos, o objecto de protecção reconduzse a dados ou programas informáticos alheios, com o intuito de causar prejuízo ou obter beneficio ilegítimo, ao passo que o âmbito de protecção da sabotagem é mais lato na medida em que se estende, igualmente, à interferência em sistema informático, desta feita, por forma entravar ou perturbar o seu funcionamento ou a comunicação de dados à distância. Noutro plano, distinguem-se, igualmente, no que tange ao âmbito da tutela penal: no dano relativo a dados ou programas informáticos está em causa a integridade do valor económico dos dados e programas em sentido quantitativo e qualitativo (26) na sabotagem não se visa somente evitar danos nos programas e nos equipamentos, pois está em causa a autonomia do valor acrescentado que a informática aporta, vendo-se a máquina no seu funcionamento e nas prestações para que é solicitada e a relevância social dessas prestações (27) , (28). A sabotagem informática é um crime de natureza pública, circunstância que é elucidativa da importância que o legislador confere ao bem jurídico protegido Trata-se de um crime de dano (29) e contra a propriedade que, embora exija uma específica intenção de perturbação, não contempla o objectivo de alcançar um benefício ilegítimo, bastando uma intenção puramente malévola (30) . Aquela particular intenção concretiza-se pela introdução, alteração ou supressão de dados ou programas informáticos. O artigo 7º da Lei n° 109/91 pune com pena de prisão até um ano ou com pena de multa até 120 dias o agente que, não estando para tanto autorizado e com a intenção de alcançar, para si ou para outrem, um benefício ou vantagem ilegítimos, de qualquer modo aceder a um sistema ou rede informáticos (31) , (32). A moldura eleva-se a: 8 - prisão até três anos ou multa se o acesso for conseguido através de violação de regras de segurança; (33) - prisão de um a cinco anos quando: a) através do acesso, o agente tiver tomado conhecimento de segredo comercial ou industrial ou de dados confidenciais, protegidos por lei; b) o beneficio ou vantagem patrimonial obtidos forem de valor consideravelmente elevado. Neste tipo leal a tentativa é punível e nos casos referidos nas alíneas do parágrafo anterior o crime é público (34) assumindo a natureza semi-pública nos demais. Alguns Autores relacionam o âmbito de protecção da norma, em primeira linha, com o designado domicílio informático (35) , encarando o tipo legal como algo semelhante à introdução em casa alheia (36) , (37) . Em busca do bem jurídico cuja tutela está causa e colocando a questão "o que mais perturba a sociedade quando alguém acede, sem o respectivo consentimento ou excedendo-o, a um determinado computador?" Fernando (38) elenca três respostas possíveis: - considerar que tais actos podem levar a danos nos sistemas e redes informáticos e, nesse caso, estaria em causa uma dimensão essencialmente patrimonial, como efeito directo da acção ilícita (39); - considerar que a preocupação maior é o conteúdo dos sistemas informáticos enquanto expressão da própria pessoa, seja em termos de tipos de programas compilados, seja todo o historial da pessoa que ali pode estar registado; - considerar que se trata de uma resposta às acções que, tendo outras dimensões de protecção, podem determinar perda de confiança da comunidade jurídica no sistema informático e nas redes informáticas, degradar a sua relação com o novo estilo de vida que se verifica, por força da pressão que é imposta pela informática (40) . Para o Autor em causa, nesta última hipótese, o bem jurídico protegido relaciona-se com a "segurança ou intangibilidade dos sistemas informáticos", surgindo, assim, como complexo e difuso. Nesta vertente existem diversas dimensões a considerar: - a quebra de confiança na utilização destes sistemas traduz-se na generalização de um medo ou de uma sensação de insegurança na utilização de tais equipamentos, de que, afinal de contas, essa utilização traduza um desperdício de tempo e de recursos; - directamente associado a este domínio, designadamente, devido à causa de justificação "falta de autorização" que se encontra inscrita no tipo de ilícito, somos conduzidos à preservação da "circularidade fechada da comunicação" um domínio em que o usus excludendi deve ser salvaguardado; - o reconhecimento de que as situações de break-in podem importar consequências ao nível dos bens informáticos sobre as quais incidem; - aquelas situações podem levar à ruptura de programas informáticos, à danificação de estruturas do equipamento informático, à destruição de documentos e conteúdos ancorados 9 na plataforma informática, ou, ainda, à perda ou suspensão das funcionalidades dos mesmos. Continuando a seguir o Autor citado, destas vertentes decorre o seguinte: - a produção de danos para quem sofre tais acções, chama à colação do plano da patrimonialidade; - existe uma dimensão da realização humana, traduzida em documentos, em registos, em tipos de programas seleccionados que se encontram ancorados naquelas plataformas informáticas, que por sua vez, se relaciona com uma expressão da privacidade; - actualmente a sociedade não prescinde do uso de estruturas informáticas, por isso, quando estas sofrem instabilidade fruto de acções delitivas, os operadores desmotivamse, deixa de justificar-se a aposta na inovação e na apresentação de novos modelos de comércio ou de novas funcionalidades e também os próprios consumidores ou utilizadores deixam de reconhecê-las como formas de utilização, por desconfiança, porque as consideram ineficazes. Aceitamos que a protecção da integridade dos sistemas informáticos e redes informáticas, assim como o reconhecimento social da necessidade de preservação dos conteúdos constantes ou que circulam nas plataformas informáticas fazem do tipo legal do artigo 7º uma barreira para evitar a prática de outros ilícitos mais desvaliosos (41) . Não comungamos, no entanto, da tese deste Autor quando relaciona o acesso ilegítimo à desmotivação dos operadores e à retracção do uso dos meios informáticos por parte dos consumidores. Senão vejamos. O delito inerente ao "acesso ilegítimo" concretiza-se por qualquer modo normalmente inidóneo (42) de aceder a um sistema ou rede informáticos (43) , (44) . O tipo legal exige a intenção de alcançar beneficio ou vantagem ilegítimos que pode reconduzir-se ao desafio à segurança do visado, ao prazer da intrusão; bem como à vanglória publicitada do feito (45) . Alguns Autores (46) , (47) referem-se a estes benefício ou vantagem como sendo de natureza patrimonial. Não podemos concordar com esta posição porquanto, por um lado, o legislador não fala em enriquecimento e, por outro, como se escreveu anteriormente, o agente pode retirar beneficios/vantagens com importante conteúdo de carácter não patrimonial. Nesse sentido, podemos chamar à colação, por exemplo, o artigo 256° do Código Penal, no qual o legislador emprega idêntica expressão sem que pretenda restringir a existência da falsificação aos casos em que o agente visa somente benefício patrimonial (48) . Acresce que se trata de um crime de perigo (49) abstracto (50) , já que o legislador não exige como elemento constitutivo a verificação de qualquer dano ou lesão em dados ou programas informáticos ou sistema de comunicação de dados à distância decorrente da intrusão não autorizada, bastando-se com a colocação dos mesmos em risco com tal actuação. A efectiva lesão dos dados, programas, sistema informáticos ou de comunicação de dados à distância não se concretiza com uma conduta que preencha os elementos objectivos e subjectivos do artigo 7°, mas sim com uma actuação que se subsuma nos tipos legais dos artigos 5°, 6° ou 8°. Podemos dizer que a Lei n° 109/91 tem em vista a protecção do bem jurídico "segurança ou intangibilidade dos sistemas informáticos" mas alcança-o de forma gradual criando uma malha de 10 protecção sucessiva e com diversas vertentes, por forma a obter uma tutela eficaz e combater os efeitos nefastos da utilização indevida da nova tecnologia no domínio da informática. Por outras palavras, se é certo que o artigo 7° não contempla a acção daquele que por mera curiosidade, testando as suas capacidades e conhecimentos que são difundidos via Internet, acede – penetra - num sistema informático, sem autorização, e consulta os seus conteúdos, por ser entendimento do legislador que tal actuação não é nefasta, não deixa de ser verdade que é sucessivamente mais grave aceder: - com intenção de alcançar um ganho económico ou notoriedade, publicando em sites o resultado das acções de intrusão; - apagar dados, ocultá-los, impedir a sua utilização com a referida intenção (51) ; - apagar ou suprimir dados por forma a interferir ou entravar um sistema informático (52) ou comunicação de dados à distância (53) . Em suma, as soluções para o problema que subjaz à questão "o que mais perturba a sociedade quando alguém acede, sem o respectivo consentimento ou excedendo-o, a um determinado computador?" não são alcançadas somente com o tipo legal do artigo 7º, mas com este e com os artigos 5° ou 6° ou 8º em conjunto. Coloca-se a questão de saber se existe um concurso ideal de crimes, mais especificamente, uma relação de consunção entre a sabotagem informática e o acesso ilegítimo (54) . Afigura-se-nos que a resposta tem de ser negativa (55) , (56) . Seguindo a orientação do Prof. Gonçalo (57) , diremos que a relação de consunção existe quando os tipos legais têm entre si laços de dependência no que tange aos valores ou bens jurídicos que os inspiram. Alguns bens jurídicos são formados pela função de dois ou mais valores já protegidos por outros preceitos penais, noutros casos, resultam de se acrescentar um novo elemento ao valor ou bem jurídico de outro tipo e noutras situações são entre si diversos por exprimirem no plano criminal a específica significação de diferentes formas ou graus de ofensa de um mesmo interesse ou valor. Entre tais valores ou bens jurídicos existem relações de mais ou de menos, contendo-se uns nos noutros, o que cria uma espécie de hierarquia entre preceitos, na medida em que pode determinar a exclusão da eficácia de uns em benefício de outros (58) . A situação surge quando diversos tipos legais se apresentam ao mesmo para se aplicar à mesma situação de facto e a reacção conta a violação concreta do bem jurídico prevista na norma que protege o bem jurídico de forma menos abrangente cede perante a aplicação do preceito que visa a defesa mais extensa outros. Como dissemos, o tipo legal do artigo 7° constitui um crime de perigo abstracto e constitui uma barreira para evitar a prática de outros ilícitos mais desvaliosos. Por sua vez, o tipo legal do artigo 6° é um crime de resultado que se destina a proteger o normal fluxo de informação e o seu valor enquanto unidade operacional que permite uma certa fluidez de comunicação e armazenagem de dados. A relação de consunção é clara quando está em causa o tipo legal do artigo 5° uma vez que existe, também, coincidência na intenção do agente e na falta de autorização. No caso do artigo 6° não interessa se o agente teve em vista um beneficio ilegítimo e se está ou não autorizado a aceder aos dados ou sistema informático (59) , mas sim se teve intenção de interferir ou 11 entravar o funcionamento de um sistema informático, por aqueles constituído, ou um sistema de comunicação de dados à distância. Se é certo que o agente apenas sabota porque acedeu, as condições em que o fez não são relevantes para o preenchimento do tipo legal. Por outro lado, as motivações num e noutro caso são bem distintas. Temos, por isso, de concluir que existe autonomia entre os dois tipos legais. Vejamos agora os factos. Em 5 de Agosto de 2001, a partir da sua residência e utilizando o telefone n, o arguido Jacinto Castro ligou-se à Internet através do IP 213.30.18.110 e acedeu o sistema informático da Europol através do site dessa entidade em Haia, com o endereço http:. Fê-lo utilizando um método que consistia na utilização de programas com códigos sequenciais, através da introdução dos comandos "cmd.exe" e "set" que funcionavam no sistema operativo que tinha instalado no seu computador portátil, que foi apreendido na sequência de uma busca à sua residência, e que lhe permitiam aceder aos sistemas Windows e a Servidores Web contornando a utilização do nome do utilizador e passwords exigidos pelos mesmos para o respectivo acesso e só conhecidas por um número restrito de funcionários. Depois de ter acedido à zona confidencial e reservada dos computadores e sistema informático dessa entidade, o arguido destruiu diversos dados contidos em ficheiros, designadamente, apagou os "logs" da sua entrada na máquina, toda a directoria "winnt", removeu o conteúdo das pastas webtemp, hotfix e um ficheiro da pasta www.root, inserindo no disco rígido do computador os ficheiros "yy" e http:, deixando no primeiro uma mensagem que dava conta do ataque que havia feito e avisando que nessa noite o site em causa faria parte das listas de sites "governamentais" anteriormente alvo de ataques, terminando com saudações e a assinatura "mortalhas", alcunha por que é conhecido no meio cibernáutico. Cumpre esclarecer que na directoria "winnt" encontravam-se os ficheiros destinados ao bom funcionamento do servidor da Europol, a pasta webtemp continha o software de instalação temporária para correcção de falhas, a pasta hotfix continha directorias de actualização e o ficheiro apagado da pasta www.root continha a estrutura da página de acesso ao site. Daqui decorre que ao apagar aquela directoria, pastas e ficheiro, o arguido entravou efectivamente o funcionamento do sistema informático da Europol, como era sua intenção, dados os comandos que executou - *del* Por outro lado, o arguido agiu com intenção de adquirir maior notoriedade no meio informático como cracker uma vez que como deixou claro, na mensagem que fez inserir no disco duro do computador da Europol que as informações colhidas com a intrusão destinavam-se a ser publicitadas o seu site, à semelhança do que sucedera com outros. Não foi possível apurar em sede de julgamento que o arguido tenha sido o autor da acção levada a cabo na CMVM Constata-se que, com a sua actuação, o arguido praticou um crime de acesso ilegítimo por referência ao n° 2 do artigo 7º (60) e um crime de sabotagem informática por referência ao n° 1 do artigo 5° ambos da Lei n° 109/91. 12 Passemos agora a fazer a determinação da medida da pena. Numa concepção moderna, a finalidade essencial e primordial da aplicação da pena reside na prevenção geral, sendo este conceito que justifica a respectiva moldura. Com efeito, esta corresponde ao limite a comunidade entende necessária à tutela das suas expectativas na validade das normas jurídicas. O limite máximo da pena constitui o ponto óptimo de realização das necessidades preventivas da comunidade. No entanto, abaixo desta medida de pena, outras haverá que a comunidade entende que são ainda suficientes para proteger as suas expectativas na validade das normas. O limite mínimo da pena surge, neste contexto, como o ponto absolutamente imprescindível para se realizar essa finalidade de prevenção geral, encarado sob a forma de defesa da ordem jurídica (61) . A prevenção especial, por seu lado, é encarada como a necessidade de socialização do agente, embora no sentido, modesto mas realista, de o preparar para no futuro não cometer outros crimes. Por sua vez, a culpa é chamada a desempenhar o papel de limite inultrapassável de todas e quaisquer considerações preventivas. Não podemos esquecer que a determinação concreta da medida da pena, dentro dos limites definidos na lei, é feita em função da culpa do agente e das exigências de prevenção, isto é, a reintegração social do delinquente e a protecção dos bens jurídicos (62) . A protecção de bens jurídicos implica a utilização da pena para dissuadir a prática de crimes pelos cidadãos (63) , incentivar a convicção de que as normas penais são válidas e eficazes e aprofundar a consciência dos valores jurídicos por parte destes (64) . A protecção de bens jurídicos significa ainda prevenção especial como dissuasão do próprio delinquente potencial. Por outro lado, a reintegração do agente significa a prevenção especial na escolha da pena ou na sua execução (65) . Finalmente, no que tange à retribuição, a pena como censura da vontade ou da decisão contrária ao direito não pode, em caso algum, ultrapassar a medida da culpa. Em suma, a escolha da pena terá assim de ser perspectivada em função da adequação, proporção e potencialidade para atingir os objectivos estipulados no artigo 40º do Código Penal. Vejamos, agora, os factores de determinação concreta da medida da pena à luz do artigo 71° do Código Penal. O arguido agiu com dolo directo intenso revelado pela utilização dos conhecimentos da sua profissão, aprimorados pela auto-instrução com manuais destinados à actividade dehacking e cracking recolhidos na Internet e o investimento que fez dotando o seu computador de ferramentas apropriadas a explorar a vulnerabilidade dos sistemas informáticos tornando-os alvos indefesos da sua acção. A intensidade do dolo encontra-se presente, igualmente, na notoriedade que o arguido alcançava no meio cibernaútico com a criação de um site onde publicitava e fornecia informação confidencial ou privilegiada que recolhia durante os seus ataques. A carga ilícita da sua conduta assume contornos de média gravidade, atentos os bens jurídicos violados e a sua hierarquização no ordenamento jurídico. 13 Como consequência da sua conduta, a Europol teve prejuízos decorrentes da necessária reposição da directoria, pastas e ficheiro eliminados e a implementação de mecanismos de segurança, uma vez que o ataque e a divulgação do ponto vulnerável do sistema informático o tornava presa fácil de outros hackers/crackers. Também não podemos esquecer que esta entidade lida com informações confidenciais, desconhecendo-se, todavia, consequências a este nível, designadamente, se ocorreu a efectiva divulgação que havia sido anunciada pelo arguido. Este sofreu anteriormente, condenações pelos factos mais variados: - em 15 de Dezembro de 1988 por ofensas corporais; em 19 de Agosto de 1990 por tentativa de homicídio; em 16 de Novembro de 1992 por consumo de estupefacientes; em 5 de Novembro de 2001 por desobediência. Cumpriu pena de prisão. Na escolha da pena e na medida concreta importa considerar a culpa elevada e a expectativa da comunidade na reposição das normas jurídicas violadas, actividade como aquela que o arguido teve põe em causa a confiança dos cidadãos no funcionamento da Internet e leva-os a recear nas transacções que efectuam usando esse meio. Por outro lado, não podem ser descuradas as necessidades de prevenção especial que, no caso, se apresentam elevadas: o arguido tomou a decisão de se tomar um "hacker" e um "craker", adquiriu conhecimentos com essa finalidade, penetrou: em diversos sites de acesso reservado; violando as respectivas regras de segurança, publicava em site que criou para o efeito informação que obtinha dessa forma, tinha em vista ganhar notoriedade, propunha-se ensinar potenciais interessados que pretendessem iniciar-se na mesma actividade; no que tange à sua personalidade, revelada pelo certificado de registo criminal, podemos dizer que se trata de alguém agressivo e rebelde, que tem dificuldade em aceitar os limites impostos — veja-se a condenação do Tribunal Militar, assim como, por consumo de estupefacientes e desobediência, além do caso em análise. Na moldura penal abstracta dos dois tipos legais verifica-se a previsão em alternativa de penas de multa e de prisão. Como se extrai do artigo 70º do Código Penal, o legislador manifesta uma clara preferência pelas penas não detentivas, sempre que através delas possam ser cabalmente realizadas as finalidades da punição, isto é, a reintegração social do delinquente e a protecção dos bens jurídicos. Numa situação como a que analisamos, as considerações de prevenção geral e mesmo de prevenção especial, assim como o grau de culpa na prática do facto são determinantes para afastar a possibilidade de optar pela pena não detentiva dada a pequena moldura da pena de multa. Ponderados os factores anteriormente enunciados, a medida concreta da pena adequada à punição dos factos cometidos é a seguinte: » acesso ilegítimo: um ano de prisão; » sabotagem informática: dois anos de prisão. A prática de vários crimes antes do trânsito em julgado da condenação por qualquer deles determina a realização de cúmulo jurídico de forma a fazer-lhes corresponder uma pena única. Esta terá uma moldura penal abstracta cujo máximo traduz a soma das penas parcelares que tenham sido impostas e como mínimo a mais elevada daquelas. 14 Em concreto, o limite máximo corresponde a prisão de três anos e o mínimo a um ano. Operando o cúmulo jurídico, seguindo as regras do artigo 77° e atendendo aos factos praticados e à personalidade do arguido, determina-se a condenação numa única pena de dois anos e seis meses de prisão. As penas curtas de prisão, que a lei, segundo o seu próprio critério, entendeu delimitar ate aos três anos, devem ser substituídas pela suspensão da execução se, atendendo à personalidade do agente, às condições da sua vida, a sua conduta anterior e posterior ao crime e às circunstâncias deste, vier a concluir-se que a simples censura do facto e a ameaça da prisão realizam de forma adequada e suficiente as finalidades da punição (66) . A suspensão da execução da pena constitui uma medida de conteúdo reeducativo e pedagógico, de forte exigência no plano individual, particularmente adequada para, em certas circunstâncias e satisfazendo as exigências de prevenção geral, responder eficazmente a imposições de prevenção especial de socialização, ao permitir responder simultaneamente à satisfação das expectativas da comunidade na validade jurídica das normas violadas, e à socialização e integração do agente no respeito pelos valores ao direito, através da advertência da condenação e da injunção que esta impõe para que o agente conduza a vida de acordo com os valores inscritos nas normas (67) . Por outro lado, não são considerações de culpa que devem ser tomadas em conta, mas juízos de prognose sobre o desempenho da personalidade do agente perante as condições da sua vida, o seu comportamento e as circunstâncias do facto, que permitam fazer supor que as expectativas de confiança na prevenção da reincidência são fundadas (68) , tomando por referência o momento da decisão e não da prática do crime (69) . No caso não pode concluir-se por uma prognose favorável à ressocialização do arguido. Com efeito, esta não foi uma acção isolada, mas sim inserida num contexto lato em que o arguido, movido por vaidade e desejo de notoriedade, não apenas levava a cabo intrusões em diversos sistemas informáticos, como criou um site para publicitar as informações que obtinha e disponibilizava programas de treino para hackers. Não estamos perante um principiante que actua por curiosidade, mas antes, perante alguém que desenvolve um trabalho específico para quebrar sistemas informáticos, se propõe ensinar outros a praticar idênticas acções e se esforça por criar ligações a sites reconhecidamente ligados à actividade de hacking, como é o caso do Astalavista, e obter destes o reconhecimento. Tendo em conta os traços da sua personalidade e os diversos contactos com o sistema judicial que resultaram em diversas condenações, designadamente, em pena de prisão que cumpriu e não foram suficientes para o advertir para a necessidade de manter um comportamento conforme ao Direito, não acreditamos que o arguido seja capaz de manter a disciplina necessária para, com os conhecimentos que adquiriu, resistir à actividade de hacker e cracker em que se notabilizou. O artigo 109° do Código Penal dispõe que são declarados perdidos a favor do Estado os objectos que tiverem servido ou estivessem destinados a servir para a prática de uni facto ilícito típico, ou ainda, que por ele tivessem sido produzidos, se puserem em causa a segurança das pessoas, a moral ou a ordem públicas ou oferecerem sério risco de ser utilizados para o cometimento de novos factos ilícitos típicos, o que tem lugar ainda que nenhuma pessoa determinada possa ser punida pelo facto. No caso, justifica-se declarar perdido a favor do Estado o computador descrito a fls. 2 do anexo I. 15 IV DECISÃO Tudo visto, o Tribunal, julgando a acusação parcialmente provada e procedente: a) absolve o arguido Tiago da imputada autoria material de um crime de acesso ilegítimo, previsto e punível pelos artigos 2° alíneas b) e c) e 7° n°s 1 e 2 e um crime de sabotagem informática, previsto e punível pelos artigos 2° alíneas b), c) e g) e 60 n°s 1 e 2, ambos da Lei n° 109/91 de 17 de Agosto, por referência aos factos elencados nos n°s 9) a 16) da fundamentação de facto; b) condena o arguido Tiago pela autoria material, em concurso real, de: - um crime de acesso ilegítimo, previsto e punível pelos artigos 2° alíneas b) e c) e 7° n°s 1 e 2 da Lei n° 109/91 de 17 de Agosto, por referência aos factos elencados nos n°s 17) a 22) da fundamentação de facto, na pena de um ano de prisão; - um crime de sabotagem informática, previsto e punível pelos artigos 2°alíneas b) e c) do e 6º nº 1 do mesmo diploma, por referência os factos elencados nos n°s 17) a 22) da fundamentação de facto, na pena de dois anos de prisão; e em cúmulo jurídico, na pena única de dois anos e seis meses de prisão; c) condena-o, ainda, em 5 UCs de taxa de justiça, com acréscimo de 1% a favor do Fundo para vítimas de crimes violentos (artigo 13° do DL 423/91 de 30 de Outubro), em custas e procuradoria mínima; d) declara perdido a favor do Estado o computador descrito a fls.2 do anexo I. Boletins da D.S.I.C. Notifique e deposite. Guimarães, 26 de Junho de 2007. (Texto processado e revisto pela primeira signatária). 16 (1) Processo nº 11287/01.1TDLSB (2) Cfr. Garcia Marques e Lourenço Martins in Direito da Informática, Almedina, 2000, pg 493 e 494. (3) Cfr. Faria Costa e Helena Moniz, "Algumas Reflexões Sobre a Criminalidade Informática em Portugal" in BFDC, vol: LXXIII, 1997, pg. 298. (4) É frequente encarar a criminalidade informática como todo o acto em que o computador serve de meio para atingir um objectivo criminoso ou em que o computador. é o alvo desse acto. (5)Citada por Garcia Marques e Lourenço Martins, in op. cit., pg. 494. (6) Cfr. Garcia Marques e Lourenço Manias, in op. cit., pg. 500 que dão conta da seguinte classificação: - amadores: pessoas colocadas em lugares de confiança e com certo nível de conhecimentos técnicos de informática que cometem o crime por razões financeiras; - perturbados: pessoas com desequilíbrio psicológico mais ou menos grave; - membros do crime organizado: indivíduos que exploram potenciais ganhos muito elevados em contrapartida de riscos comparativa e progressivamente menores; - espiões de potências estrangeiras ou para fins de furto de segredos comerciais; - quebra sistemas ou "hackers": indivíduos que utilizam as falhas de procedimentos e de segurança no acesso aos sistemas, que agem, menos por perfídia ou com intuitos fraudulentos, mas mais, por puro prazer; - extremistas idealistas: uso indevido dos meios informáticos por razões ideológicas, mormente com fins terrorista (7) Os mesmos Autores, desta feita, por referência e motivação encontram a seguinte tipologia: - utilitaristas: determinados por ganhos financeiros, almejam, acima de tudo, o desvio de fundos; - empreendedores: agem por jogo ou desafio, praticam pirataria de software e são especialistas na descoberta de palavras de passe; - agressivos: guiados pelo propósito dê compensar uma frustração ou agravo profissional; - destruidores: têm em vista a destruição das empresas ou de organizações através da sabotagem ou do terrorismo. (8) "Vide A Responsabilidade de Pessoas Colectivas no Âmbito da Criminalidade informática em Portugal in http://www.apdi.pt/apdi/doutrina, pg. 4. (9) Diploma a que se referem todas as normas citadas sem menção de proveniência. (10) Ver igualmente, os artigos 43 a 47° da Lei n° 67/98, de 26 de Outubro referentes a tipos legais dirigidos à protecção dos dados pessoais, assim como o artigo 104° da Lei n°5/2004 de 10 de Fevereiro, referente à criminalização das actividades de fabrico, importação, exportação, venda, locação, instalação, manutenção ou substituição, para fins comerciais, de equipamentos ou sistemas informáticos concebidos ou adaptados com vista a permitir o acesso a um serviço protegido, sob forma inteligível, sem autorização do prestador do serviço. (11) No sentido de que o diploma em causa tutela a própria funcionalidade dos sistemas informáticos vide Almeida Costa in Comentário Conimbricense do Código Penal, Parte Especial, dirigido por Figueiredo Dias, Coimbra Editora, 1999, Tomo II, pg. 399. (12) Fernando in "O "hacking" enquanto crime de acesso ilegítimo, das suas especialidades, à utilização das mesmas para a fundamentação de um novo Direito" (publicado na internet) refere-selhes como crimes com uma dimensão técnica e uma componente de execução etérea, denominando17 os de "crimes levitacionais" em virtude de, ao contrário da criminalidade tradicional, cuja comissão se reconduz directamente a uma determinada acção e à orbita geográfica, serem, necessariamente, crimes praticados à distância. (13) Para Marta (in O tratamento juridico-penal da transferência de fundos monetários através da manipulação ilícita dos sistemas informáticos. Studia Iuridica, 82, Coimbra Editora. pg 34) os crimes essencialmente informáticos são aqueles em que o bem jurídico consiste numa realidade de natureza informática, num interesse tecnológico, cuja utilidade e valor sociais são penalmente reconhecidos e protegidos. Distingue-os dos crimes: - tipicamente informáticos nos quais não está necessariamente em causa um bem jurídico gerado pela sociedade tecnológica, mas outro já conhecido e tutelado pelo ordenamento juridico-penal, contudo, pela forma que concretamente assume, só pode ser agredido por meios informáticos; - acidentalmente informáticos aqueles em que a utilização do computador integra apenas o rnodus operandi que em nada contende com o tipo legal. (14) Classificando os crimes informáticos em função da ameaça fundamental, a Autora citada na nota anterior (in op. cit., pg. 36) encontra três categorias: a perda de exclusividade do controlo e da confidencialidade (caso do acesso ilegítimo); a perda de integridade (caso da sabotagem informática) e a perda de disponibilidade ou da sua utilidade funcional (caso do dano relativo a dados ou programas informáticos). (15) Está em causa, pois, software. Quando o hardware seja afectado estaremos perante um crime de dano previsto no artigo 212° do Código Penal. Neste sentido, Faria Costa e Helena Moniz, in. op. cit. pg. 329. (16) In "Les crimes informatiques et d autres crimes dans la domaine de la tecnologie informatique au Portugal" publicado em Direito Penal da Comunicação, Alguns Escritos, Coimbra Editora, 1998, pg. 32. (17) Desta feita, in Algumas reflexões sobre o estatuto dogmático do chamado "Direito Penal Informático" publicado em Direito Penal da Comunicação, Alguns Escritos, Coimbra Editora, 1998, pg. 109. (18) In op cit, pg 78. (19) Nessa medida, a tutela do valor patrimonial que os dados encerram sai reforçada, visto que o valor do dano da perturbação também depende do valor da informação armazenada informaticamente. (20) O valor do prejuízo é, de resto, um elemento típico da agravação da moldura penal na generalidade dos tipos de ilícito patrimoniais. No entanto, aqui, há algo de novo: a valoração do prejuízo não se esgota na avaliação da perda de bens materiais, para se alargar à ponderação de interesses económicos inerentes ao tratamento e armazenamento informáticos da informação. (21) A densificação destes conceitos é levada a cabo nas alíneas g) e h) do artigo 2°, respectivamente, quando exceda 50 e 200 unidades de conta avaliadas no momento da prática do facto - em termos semelhantes, de resto, aos previstos no artigo 202° alíneas a) e b) do Código Penal. (22) Citado por Garcia Marques e Lourenço Martins, in op. cit., pg. 524. (23) Garcia Marques e Lourenço Mastins, in op. cit, pg. 526 defendem que esta norma dá resposta jurídica à fenomenologia correspondente às "bombas lógicas" e aos "vírus". 18 (24) Note-se, todavia, que o artigo 5° refere expressamente uma condição objectiva de punibilidade: o agente actua sem para tanto estar autorizado, as mesmas acções levadas a cabo por quem assuma tais comportamentos com autorização do titular dos dados ou programas informáticos não consubstanciam a prática de qualquer ilícito. (25) Nesse sentido, vide Ana Martinho http://www.fd.unl.pt/docentes_docs/ma/MEG_MA_1301.doc. e Ricardo Mastins in (26)Note-se que no tipo legal previsto no artigo 5° o bem jurídico protegido reconduz-se á integridade e bom funcionamento ou bom uso de dados ou programas informáticos. (27) Cfr. Garcia Marques e Lourenço Martins, in op. cit., pg. 526 e 527. (28) Nesse sentido, vide Ana Martinho http://www.fd.unl.pt/docentes_docs/ma/MEG_MA_1301.doc. e Ricardo Martins in (29) No sentido de que o crime de sabotagem informática é muito mais um crime de dano informático do que o previsto no artigo 5°, vide Faria Costa in Algumas reflexões sobre o estatuto dogmático do chamado "Direito Penal Informático", pg. 111. Este Autor defende esta posição em virtude de este último introduzir, além do elemento da autorização, um verdadeiro animus nocendi. (30)Nesse sentido vide Faria Costa "Les crimes informatiques et d autreè crimes", pg. (31) Neste caso, pune-se qualquer modo de acesso. Nesse sentido, vide Ana Martinho e Ricardo Martins in op. Cit. (32) Para Pedro Dias Venâncio (in Investigação e Meios de Prova na Criminalidade Informática, pg. 13, acessível em www.verbojuridico.pt) o termo "acesso ilegítimo" — que consta da epígrafe da norma — abrange, basicamente, a infracção relativa às ameaças à segurança — confidencialidade, integridade e disponibilidade — dos sistemas informáticos. Este Autor salienta que o meio mais viável de prevenção do acesso não autorizado é, indubitavelmente, a introdução e o desenvolvimento de medidas de segurança eficazes. (33) Designadamente, quando o agente contorne as passwords que protegem o sistema e limitam o acesso a pessoas seleccionadas. (34) Defendendo que, se o dano atingir determinados valores há um risco de perturbação da paz social e da confiança das pessoas na segurança jurídica e, no caso, na fiabilidade dos meios electrónicos, motivo pelo qual se considera haver um interesse público essencial em agir criminalmente vide Pedro Dias Venâncio in op. cit., pg. 7. (35) Nesse sentido, Marta in op. cii., pg. 107. (36) Cfr. Garcia Marques e Lourenço Martins, in op. cit., pg. 529. (37) No sentido de que o bem jurídico protegido é o património do lesado e a segurança dos sistemas informáticos, vide Pedro Dias Venâncio in op. cit, pg. 14. Tal afigurase- nos restritivo, porquanto poderá estar em causa, igualmente, a privacidade do conteúdo do sistema ou rede informativos. (38) In op.cit. (39) Criticando esta posição dá como exemplo caricatural as pessoas que adquirem sistemas informáticos como objectos de decoração. 19 (40) Dando preferência a esta última resposta, o Autor em causa defende que com as anteriores nada de novo, existe no universo do crime de acesso ilegítimo, pois o âmbito de protecção não se diferencia do estilo de bens jurídicos previstos, respectivamente, na órbita dos crimes conta o património ou na órbita dos crimes contra a reserva da vida privada. (41) Aqueles em que a dimensão do dano ou da revelação de conteúdos surge de forma mais intensa. (42) Designadamente, sem autorização. (43) O tipo legal tanto está pensado tanto para a intrusão não autorizada num computador alheio ‘vasculhando o respectivo conteúdo sem a devida autorização, como para actuação dos "hackers" que consiste, normalmente, no uso de um microcomputador, ligado por um modem á rede pública de telecomunicações, para aceder a programas informáticos. (44) No entanto, dada a especifica intenção contemplada no tipo legal, não lidamos com a simples intrusão. (45) Garcia Marques e Lourenço Martins, in op. cit., pg. 529. No entanto, estes Autores, ao referiremse á alínea b), parecem entender que os benefícios e vantagem que todo o preceito tem em vista são de natureza patrimonial. Não concordamos com esta perspectiva na medida em que, por um lado, é redutora da protecção a conferir pela norma e, por outro, a expressão "patrimonial" apenas surge na agravação substancial que se justifica, se além do prazer inerente à conduta, o agente alcançar um enriquecimento de valor superior a 200 unidades de conta. (46) Vide nota anterior. (47) No sentido de que no tipo legal em causa o agente visa obter um enriquecimento e que o sistema português apenas pune os hackers que acedem a sistemas de dados pessoais, violando, desse modo, o bem jurídico-criminal da reserva da vida privada, assim como os crackers, Faria Costa e Melena Moniz in op. cit., pg. 332. (48) Cfr. AC. RL de 19.06.2001 ia CJ Ano XXVI, tomo 3, pg. 153 onde se escreve que constitui beneficio ilegítimo toda a vantagem, patrimonial ou não patrimonial, que se obtenha através do acto de falsificação. (49) A noção de crime de perigo contrapõe-se à de crime de dano, caracterizando-se pela não exigência típica de efectiva lesão do bem jurídico tutelado pela norma. Serão, assim, crimes de perigo aqueles cuja consumação se basta com o risco (efectivo ou presumido) de lesão do bem jurídico, risco esse que se consubstancia numa situação de perigo, por si só si tutelada pela norma que, por isso, consubstancia o "resultado" que se pretende evitar. (50) Por sua vez, os crimes de perigo concreto e de perigo abstracto distinguem-se consoante o perigo é ele próprio elemento do tipo ou só motivo dá proibição. (51) O agente penetra no sistema informático de um concorrente e apaga do sistema informático uma informação para evitar que este lance imediatamente no mercado um novo produto idêntico àquele que se encontra em criação na sua empresa, procurando, desse modo, obter mais algum tempo e ganhar competitividade. (52) O agente introduz-se num sistema informático e apaga um programa que se destina a identificar falhas ou fazer actualizações. 20 (53) O agente apaga uma pasta essencial ao funcionamento de um site do visado que, por isso, deixa de estar acessível a quem queira consultá-lo. (54) No sentido de que estamos em presença de uma infracção complementar da sabotagem vide Ana Martinho e Ricardo Martins in http://www.fd.unl.pt/docentes_docs/ma/MEG_MA_1301.doc. (55) Em sentido contrário, embora sem invocar fundamentos para a adopção dessa tese, vide sentença proferida no Processo nº 1/97 da 9ª Vara Criminal do Circulo de Lisboa, 3ª Secção in http //www.fd.unl.pt/docentes_docs/ma/MEG_MA_1301.doc. (56) Faria Costa (in Les crimes informatiques et d autres crimes", pg.33) defende que existe acesso ilegítimo quando o objectivo seja, fundamentalmente, retirar certo beneficio, passando a existir sabotagem informática quando o agente, com esse acesso, venha a causar um dano, entravando ou perturbando o sistema informático. (57) In a teoria do Concurso em Direito Criminal, Colecção Teses, Almedina, 1983, pg. 130. (58) Cfr. Gonçalo in op. Cit. Pg 131. (59) O crime pode ser praticado por um funcionário do proprietário do sistema informático que está autorizado a aceder ao servidor e que decide por qualquer razão, por exemplo, retirar um ficheiro essencial para a estrutura do respectivo site de forma a impedir que terceiros possam ter acesso à informação por este disponibilizada. (60) Já que contornou a password de segurança. (61) Cfr. Anabela Miranda Rodrigues citada por Ac. STJ de 10.03.2005 in http//www.dgsi.pt/processo nº 05P224. (62) Cfr. artigo 40º, nº 1 do Código Penal. (63) Prevenção geral negativa. (64) Prevenção geral positiva. (65) Cfr. Ac. RL de 01.10.2003 in http://www.dgsi.pt/ processo n° 2001/2O03-3. (66) Cfr artigo 50° nº 1 do Código Penal. (67) Cfr Ac. do STJ de 09.01.2002 in http //www.dgsi.pt/ processo nº 03P853, Ac. STJ de 17.04.2004 in http//www.dgsi.pt/processo 03P3761. (68) Cfr. Ac. STJ de 3.04.2003 in http//www.dgsi.pt/ processo n° 03P853, Ac. STJ de 17.04.2004 in http//www.dgsi.pt/processo nº 03P3761. (69) Cfr. Ac. RP de 19.07.2006 http//www.dgsi.pt/jtrp00039429. 21