Tribual de première instance Guimarães (Portugal) - Chambre criminelle
26 juin 2007
___________________________________________________________________________
Sources : Alves Pereira & Teixeira de Sousa (réseau Lexing)
___________________________________________________________________________
Tribunal Judicial da Comarca de Guimarães,
Acórdão de 26 Jun. 2007,
Processo 001/07
Processo: 001/07
Jurisdição: Criminal
JusNet 8521/2007
Texto
I RELATÓRIO
O Digno Magistrado do Ministério Público submeteu a julgamento, com intervenção do Tribunal
Colectivo (1) .
Tiago, casado, técnico de informática, filho de Licinio e de Mónica, nascido a 8 de Julho de 1966,
natural de Massarelos, Porto, residente xxxx, Viseu.
Imputando-lhe a autoria material, em concurso real, de dois crimes de acesso ilegítimo, previstos e
puníveis pelos artigos 2° alíneas b) e c) e 7° n°s 1 e 2 da Lei n° 109/9 1 de 17 de Agosto, um crime de
sabotagem informática, previsto e punível pelos artigos 2° alíneas b), c) e g) e 6° n°s 1 e 2 da Lei n°
109/91 (em concurso aparente com um crime de dano relativo a dados ou programas informáticos,
previsto e punível pelos artigos 2° alíneas c) e g) e 5° n°s 1 e 3 da mesma lei) e um crime de
sabotagem informática, previsto e punível pelos artigos 2° alíneas b) e c) e 6° n°s 1 e 2 da Lei n°
109/91 (em concurso aparente com um crime de dano relativo a dados ou programas informáticos,
previsto e punível pelos artigos 2° alínea c) e 5° n°s 1 e 3 da mesma lei).
Após o despacho que designou data para julgamento não ocorreu qualquer nulidade. Mantém-se a
validade e a regularidade formal da instância, pelo que nada obsta à decisão de mérito.
O arguido não apresentou contestação nem arrolou testemunha de defesa.
Procedeu-se a julgamento com cumprimento do formalismo legal.
1
II FUNDAMENTAÇÃO DE FACTO Da audiência de discussão e julgamento resultaram provados os
seguintes factos:
1. O arguido é técnico de informática, actividade em que foi adquirindo conhecimentos,
designadamente, a nível de sistemas operativos como Windows e Linux.
2. Alguns desses conhecimentos foram obtidos tendo como principal fonte a Internet.
3. O arguido usava na Internet a designação de "mortalhas" nome que atribuiu às contas que abriu
no ISP NETC com a conta de correio electrónico yy.
4. O arguido acedia à Internet maioritariamente através do n° de telefone n, instalado na sua
residência, e criou, ainda, um site com o endereço http:.
5. Neste contexto, em data indeterminada mas anterior a Março de 2001, o arguido decidiu tomar-se
um "hacker" e um "craker", penetrando em diversos sites de acesso reservado, usando para tal os
conhecimentos que foi obtendo da Internet sobre como quebrar as seguranças dos diversos
sistemas, explorar vulnerabilidades dos servidores IIS (Internet Information Server) e, dessa forma,
violando as regras de segurança, aceder aos computadores, sistema informático e bancos de dados
dos visados e executar comandos privilegiados no respectivo sistema.
6. Para isso, utilizava um método que consistia na utilização de programas com códigos sequenciais,
através da introdução dos comandos "cmd.exe" e "set" que funcionavam no sistema operativo que
tinha instalado no computador portátil marca "Toshiba", descrito a fls. 2 do anexo I, programas
aqueles que lhe permitiam aceder aos sistemas Windows NT e Windows 2000 e Servidores IIS 4 e 5
(Servidores Web) contornando a utilização do nome do utilizador e password exigidos por esses
sistemas para o respectivo acesso.
7. Quando acedia àqueles sistemas informáticos o arguido ficava com o poder de criar e destruir
ficheiros dos sistemas acedidos, o que fazia e fez com o intuito de entravar ou perturbar o
funcionamento do sistema informático a que acedia, finalizando, normalmente, a sua acção com a
introdução de ficheiros que funcionavam como a sua marca pessoal ou assinatura.
8. Para além daquela intenção, o arguido também tinha em vista a pretensão de ganhar notoriedade
no meio informático cibernáutico onde e se movia, fazendo inserir no seu site http: todos os seus
ataques, onde também publicitava e fornecia diversa informação confidencial ou privilegiada das
entidades lesadas durante os seus ataques.
9. No dia 2 de Junho de 2001 pessoa não identificada acedeu ao site da Comissão de Mercado de
Valores Mobiliários com o endereço http: e, com o auxílio de ferramentas informáticas, contornou as
palavras-chave específicas só conhecidas por um número restrito de funcionários da CMVM, vindo a
aceder á zona confidencial e reservada dos computadores e sistema informático da mesma.
10. Depois de ter acedido ao sistema, com intenção de entravar e perturbar o funcionamento do
sistema informático da CMVM, a pessoa referida em 9) eliminou diversos ficheiros ali existentes,
designadamente, aqueles que possuíam a extensão ".ini", ficheiros esses que continham informação
de arranque e informação de manutenção do software da máquina.
11. Depois de ter eliminado aqueles ficheiros e antes de abandonar o sistema informático da CMVM,
a pessoa referida em 9) fez inserir/introduzir no disco C do computador dessa entidade o ficheiro
"assim.falou.zaratustra" e yy e no disco D "o.vosso.sistema.está.nas.minhas.mãos".
12. Quando funcionários da CMVM verificaram a intromissão e reiniciaram o sistema, este não
arrancou, dando a informação de que faltam ficheiros do sistema operativo (Microsoft Internet
2
Information Server 4.0) essenciais para o funcionamento do computador, ficheiros esses que a
pessoa referida em 9) tinha eliminado no acesso.
13. O site da CMVM contém, entre muitos outros conteúdos, um "Sistema de Difusão de
Informação" nos termos do artigo 367° do Código dos Valores Mobiliários, que inclui a difusão aos
mercados de valores mobiliários de factos relevantes ocorridos na esfera das entidades emitentes,
factos assim classificados por influírem no preço dos valores mobiliários negociados nas Bolsas de
Valores do Porto e de Lisboa.
14. Por força da acção descrita em 10) e propósito da pessoa referida em 9), o site da CMVM esteve
inacessível ao público nos dias 5, 6 e parte do dia 7 de Junho de 2001 e, com isso, a disponibilização
daquele "Sistema de Difusão de Informação", ao público em geral e entidades financeiras em
particular, tempo esse em que decorreram as necessárias operações de reposição daquilo que havia
sido eliminado pela pessoa referida em 9).
15. A informação daquele "Sistema de Difusão de informação" apenas foi realizada através da
implementação de um sistema alternativo de "mailing list" e somente para destinatários conhecidos.
16. A acção referida em 10) implicou, ainda, trabalho ininterrupto por banda da CMVM, que se
prolongou entre a manhã do dia 5 e as 12h30 do dia 7 de Junho de 2001, para recuperação, para um
novo computador, e a reconstituição de todo um sistema que vinha sendo desenvolvido há vários
anos por aquela entidade, causando-lhe um prejuízo superior a € 5.000 (cinco mil euros).
17. Entusiasmado com os resultados das investidas a diversos sites, no dia 5 de Agosto de 2001, pelas
13h14, através do IP 213.30.18.110 e daquele n° de telefone n, de sua residência, o arguido acedeu
ao sistema informático da Europol através do site dessa entidade em Haia, com o endereço http :.
18. A despeito de não ter autorização para aceder a tal sistema informático, o arguido, com o auxílio
daquelas suas ferramentas informáticas contornou as palavras-chave específicas só conhecidas por
um número restrito de funcionários da Europol, vindo a aceder, dessa forma, à zona confidencial e
reservada dos computadores e sistema informático dessa entidade.
19. Depois de ter entrado por aquela forma naquele sistema, e com o intuito de entravar e perturbar
o funcionamento do mesmo e elevar o grau de notoriedade dentro do meio cibernáutico, o arguido
destruiu diversos dados contidos em ficheiros, designadamente, apagou os "logs" da sua entrada na
máquina, bem como toda a directoria "winnt" com os ficheiros destinados ao bom funcionamento do
servidor, removeu o conteúdo das pastas webtemp (sofware de instalação temporária para
correcção de falhas) e hotfix (que corresponde a directorias de actualização) e um ficheiro da pasta
www.root (que contém a estrutura da página de acesso ao site), assim como fez inserir no disco
rígido do computador os ficheiros "yy" (news.txt) e http:.
20. No primeiro ficheiro o arguido deixou a seguinte mensagem: "You have been hacked. Tonight
your site will be aded to the shits Iists of hached government sites. (...) Kind regards from,
mortalhas".
21. Na sequência de busca domiciliária realizada à residência do arguido foram apreendidos os
objectos descritos a fls. 47, todos eles relacionados com a descrita actividade do mesmo.
22. O arguido conhecia os factos descritos, quis actuar da forma que o fez, bem sabendo que:
-
não estava autorizado a entrar no sistema e programa informático referido em 17); - o fazia
contornando, através de ferramentas e conhecimentos que adquiriu, os sistemas de
segurança do site da Europol, violando as regras de segurança para obter para si a referida
notoriedade;
3
-
naquela acção apagou diversos ficheiros que continham dados imprescindíveis ao
funcionamento dos programas e sistema informático da Europol; - o fez Com o intuito
concretizado de causar prejuízo à Europol e de perturbar e interferir no sistema informático
desta; - as suas condutas eram proibidas e punidas por lei.
23. O arguido foi condenado:
-
por sentença de 15 de Dezembro de 1988 do Tribunal Militar de Lisboa, na pena de três
meses de prisão militar, pela prática de um crime de ofensas corporais praticado em 25 de
Fevereiro de 1988;
-
por acórdão de 5 de Abril de 1991 do 1° Juízo Criminal do Porto, na pena de seis anos de
prisão, à qual foi perdoado um ano por aplicação da lei de amnistia n° 23/91 de 4 de Julho,
pela prática de um crime de homicídio tentado, praticado em 19 de Agosto de 1990;
-
por sentença de 16 de Novembro de 1992 da 2ª secção do Tribunal Judicial de Paços de
Ferreira, na pena de 40 dias de prisão e 20 dias de multa à taxa diária de Esc. 200$00, pela
prática de um crime de consumo de estupefacientes em 4 de Outubro de 1991;
por sentença de 5 de Novembro de 2001 do 3° Juízo Criminal de Braga., na pen a de sete
meses de prisão suspensa na sua execução pelo período de dezoito meses, sob condição de
entregar no prazo de oito dias a carta de condução, Esc. 20.800$00 a favor da Cruz Vermelha
e não ser portador ou detentor de arma durante esse período, pela prática de um crime de
desobediência, praticado em 13 de Fevereiro de 2000, que foi declarada extinta.
Não se provaram quaisquer outros factos, designadamente, que:
-
o arguido seja conhecido pela alcunha "RRR";
que o arguido introduzisse nos sistemas acedidos ficheiros onde escrevia "assim.falou.RRR",
"o seu sistema está inseguro" e/ou "o seu sistema está nas minhas mãos";
o arguido tivesse actuado da forma descrita em 9) a 11);
o arguido soubesse do conteúdo referido em 13); ~
o arguido tivesse feito constar e divulgar no seu site as acções referidas em 17) a 20);
o arguido tivesse iniciado a actividade, de hacker/cracker na manifestação de um desejo de
vingança contra um despedimento de que fora alvo por banda da sua entidade
empregadora.
Motivação:
O Tribunal formou a sua convicção baseando-se:
» na comunicação de fls. 1 proveniente da Europol dando conta de uma intrusão no seu servidor em
5 de Agosto de 2001, através do IP 213.30.18.110 disponibilizado pelo operador netc.pt (Telecel);
» na informação de fls. 3, prestada por Telecel sobre a utilização do IP 213.30.18.110 pelo telefone n°
n entre as 13h51 e as 16h42;
» nos prints de fls. 7 a 9 referentes à identificação do intruso no servidor da Europol, as mensagens
deixadas, com a assinatura "mortalhas", a indicação do endereço electrónico yy e a referência à
publicitação do ataque no site "http:" e na listagem das acções levadas a cabo durante a intrusão,
designadamente, a deliberada eliminação dos ficheiros log (registo da sua entrada) e winnt;
4
» na impressão do conteúdo acessível no site "http:", a fls. 39 a 44, onde se anuncia um treino
especial para hackers, a disponibilização de um cd com uma compilação de programas úteis e
testados com actualização mensal e o plano de criação de uma variante do sistema operativo Linux
especialmente vocacionado para o trabalho de hacker;
» no auto de busca e apreensão de fls. 47 de dois computador (sendo um deles portátil), disquetes e
dos conteúdos juntos nos anexos I e II;
» no relatório da intrusão levada a cabo no servidor da Europol a partir das 13h51, a fls. 55 e 56,
onde consta, além do já referido quanto aos prints de fls. 7 a 9, também a remoção das pastas hotfix
e webtemp, assim como de um ficheiro da pasta wwwroot;
» informação de lis. 60 e 89, prestada por Telecel relativo ao registo do endereço de email "yy" em
nome de "Pepe" com acesso à Internet através do n° n;
» nos prints de fls. 71 e 72 referente à intrusão no servidor da CMVM; designadamente, a introdução
dos ficheiros assim.falou.RRR, yy, uhs.RRR, RRR.uhs e o vosso.sistema.esta.nas.minhas .maos;
» no relatório de análise forense de fls.73 a 21 reportado à intrusão no servidor da CMVM,
nomeadamente o traceroute do IP utilizado nessa acção . 210.78.31.71 - atribuído a Kevin Tan,
sediado em Pequim (fls. 77 e 89);
» no certificado de registo criminal de fls. 168 a 172 (também fls. 183 a 187);
» no auto de exame directo que consta nas primeiras quatro páginas do anexo I, com destaque para
o seguinte: resulta que o material extraído - que consta dos dois anexos - e objecto de análise existia
no computador portátil apreendido ao arguido e que, realizada a pesquisa pelas palavras CMVM e
Europol, nada resultou quanto à primeira, contudo, quanto à segunda, foram encontrados
fragmentos de informação numa zona do sistema operativo marcada como espaço livre, mas
contendo partes de ficheiros apagados, desses fragmentos consta:
-
uma linha que serve para explorar as vulnerabilidades de servidores de web e possibilita
executar comandos no servidor, visualizando as variáveis globais e aceder a informação
privilegiada (comando cmd.exe para abrir uma janela de DOS e comando "set" que permite
criar, alterar e eliminar ficheiros) — impressa fls. 81 e 82, esta última no ficheiro incorporado
numa página "html" onde se disponibiliza informações de acessos não autorizados a vários
servidores de lnternet - cfr. fls. 83 a 86);
-
o endereço da Europol surge referenciado em textos de um histórico de comandos do
sistema operativo "red hat Linux 7.0" instalado no computador apreendido ao arguido,
sistema esse destinado a aceder a computadores remotos nacionais e internacionais (cfr. fls.
87);
» no material extraído do computador apreendido ao arguido:
Anexo 1:
-
fls. 88 (cfr. 116 e 117) relativo a uma mensagem enviada pelo arguido a António, em 11 de
Abril de 2001, dizendo que publicara nesse dia o site htpp:. para a actividade que desenvolvia
então, anunciando publicação de grandes novidades e referindo que as passwords do SIS
haviam sido mudadas e que da próxima vez que fosse a esse servidor deixaria um rootkit;
nessa mensagem refere que para criar tráfico underground no SIS iria publicar informação no
novo site que criara e dá dicas para utilizar os endereços da Universidade Católica, ou pelo
menos, dos seus estudantes;
5
-
fls. 90 a 93 relativo à cópia do directório C:\MyDocuments\UHS\_notes onde constam pastas
com nome "attack_minfinancas", "attack_nasa", "attack_ptelecom", "attack_sis",
"attack_visa";
-
fls. 94 a 99 relativo à publicação do resultado da intrusão no servidor SIS;
-
fls 100 a 104 relativo a publicação do resultado da intrusão no servidor do Ministério das
Finanças;
-
fls. 107 mensagem que dá conta na intrusão do arguido no servidor de "M" em 16 de Julho
de 2001 chamando a atenção para a necessidade de melhorar a segurança da rede;
-
fls. 112 a 114 dicas dadas pelo arguido a António em 21 de Junho de 2001 para aceder a
diversos servidores;
-
fls. 115 referente a mensagens trocadas entre o arguido e Astalavista Security Group em 5 de
Agosto de 2001 nas quais o primeiro dá conta da actualização do site http: e o anúncio da
publicação do conteúdo de três novos sites governamentais e o Segundo felicita o arguido
pelo conteúdo;
-
fls. 118 mensagens trocadas entre o arguido e António, em 20 de Março de 2001, em que o
primeiro dá informações sobre o servidor do Ministério das Finanças, designadamente,
revelando a password do Administrador;
-
fls. 119 a 121 mensagens trocadas entre linux.regiaocentro.net e o arguido, em 20 de Junho
de 2001, no qual o primeiro dá conta de uma invasão do sistema e destruição de ficheiros,
esclarece as consequências, designadamente criminais, das actividades de hacking e craking
e o segundo confessa que deixou "rastos" propositadamente e que o IP corresponde à conta
mortalhas;
-
fls. 122 e 123 onde consta o registo dos uploads de ficheiros que o arguido colocava no
servidor da internet "yy", designadamente, em 5 de Agosto de 2001, pelas 5h10 e 17h17,
este último posterior à intrusão no servidor da Europol;
Anexo II:
-
fls. 3 a 24, guia explicativo para explorar vulnerabilidades no sistema operative "ntexploit";
-
fls. 25 a 41, guia explicativo para explorar vulnerabilidades em servidores;
-
fls. 42 a 48, guia explicativo para ensinar como efectuar ataques "the whole-web
spoofing";
-
fls. 49 a 82, guia explicativo para ensinar como efectuar actividades de cracking;
-
fls. 83 a 97, guia explicativo para explorar vulnerabilidades nos cisco-systems;
-
fls. 99, registo no site Underground Hackers Society — http://uhs.00server.com — em 1 de
Agosto de 2000 relacionado com o endereço electrónico uhs_yy em nome do arguido,
indicando o n° de telefone n e a identificação da conta com o nome "yy";
-
fls. 100, registo do endereço electrónico yy em nome de Pepe com anotações manuscritas a
fls. 120 contendo o username de acesso e a password;
6
-
fls. 101 a 103 registo a partir do e-mail mortalhas mortalhas
III FUNDAMENTAÇÃO DE DIREITO Passemos, agora, à análise das normas necessárias ao
enquadramento jurídico dos factos provados.
A legislação relativa à criminalidade informática, em evolução desde o início dos anos 70, começou
por apresentar preocupações relacionadas com a protecção da vida privada perante novas
possibilidades de recolha, armazenamento, transferência e interconexão
de dados pessoais potenciadas pelo meio emergente.
A partir dos anos 80 sentiu-se necessidade de combater a delinquência económica específica da
informática, pois começava a ser patente a existência de dificuldades na subsunção nas disposições
de protecção da propriedade a realidade imaterial e intangível, como sucedia nos casos de
manipulação do computador ou adulteração de programas a eles destinados. Em meados dessa
década, o legislador procurou salvaguardar a propriedade intelectual através do direito de autor com
tutela penal.
Numa actual quarta vaga, as inovações são introduzidas sobretudo nível do direito processual com
vista ao aperfeiçoamento da investigação (2).
O círculo da criminalidade informática encontra-se actualmente delimitado pelos delitos que usam
o computador como instrumento ou o têm por objecto (3) , bem como aqueles em que o
ordenador, sendo ainda instrumento, é utilizado para violar direitos de personalidade. (4) .
Procurando dar uma definição de criminalidade informática, a Royal Canadian Mounted Police (5)
refere-se à mesma como qualquer actividade criminal que envolva a cópia, o uso, a transferência, a
interferência, o acesso ou manipulação de sistemas de computador de dados ou programas de
computador.
Tradicionalmente esta vem sendo encarada como criminalidade de colarinho branco, dado o não uso
de violência, a dissimulação com vista à obtenção de vantagens patrimoniais ou para evitar perdas,
servindo-se os seus agentes da posição e conhecimentos próprios de uma profissão de nível técnico
ou executivo elevado. No entanto, vem-se dando conta de um fenómeno de democratização dada a
tipologia dos delinquentes (6), (7) .
Bernardo (8) , por sua vez, entende que a criminalidade informática integra delitos caracterizados
tipicamente por uma execução vinculada através de instrumentos informáticos e uma interferência
— geralmente através de meios técnicos, especialmente informáticos — com o próprio meio
informático: equipamentos, programas ou dados.
Entre nós, para além dos tipos legais previstos no Código Penal, o legislador criou outros em
legislação extravagante, mais concretamente, para o que importa no âmbito dos autos, nos artigos 4°
a 9º da Lei n° 109/91 de 17 de Agosto (9) , (10) , (11) , (12) , (13) , (14) , (15)
Interessa-nos particularmente analisar a sabotagem informática e o acesso ilegítimo. O artigo 6º do
último diploma citado pune com pena de prisão até cinco anos ou multa até 600 dias o agente que
introduzir, alterar, apagar ou suprimir dados ou programas informáticos ou, por qualquer forma,
interferir em sistema informático, actuando com intenção de entravar ou perturbar o funcionamento
de um sistema informático ou de comunicação de dados à distancia.
Como refere o Prof. Miguel (16) , o objecto da protecção é o próprio valor do sistema informático,
como unidade operacional que permite uma certa fluidez de comunicação e armazenagem de dados.
7
A informática surge, pois, como um bem autónomo que deixou de ser um mero meio para se tomar,
ela própria, um núcleo de protecção criminal.
Para este Autor (17) o tipo legal em causa não pretende senão proteger o normal fluxo de
informação, desde que prosseguido por meios informáticos. No entanto, como bem refere Marta
(18) , além do interesse público na segurança e regular funcionamento dos sistemas informáticos e
vias de comunicação modernos, o valor económico dos dados também entra em consideração como
resulta dos n°s 2 e 3. (19)
A moldura eleva-se para um a cinco anos quando o dano emergente da perturbação seja de valor
elevado (20) e de um a dez anos de prisão se tal dano for de valor consideravelmente elevado (21) .
Segundo o Relatório do Conselho da Europa (22) a expressão "apagar" significa eliminar dados que
figuram num suporte; designadamente, numa banda magnética ou noutro suporte de registo,
enquanto "suprimir" significa reter ou ocultar dados dando como resultado a não introdução num
tratamento em que seriam indispensáveis se fosse efectuada correctamente. No primeiro caso, os
dados desaparecem em definitivo, enquanto no segundo são ocultados temporariamente.
Cotejando o artigo 6º (23) com o artigo 5° do mesmo diploma, o qual prevê o dano relativo a dados
ou programas informáticos, verificamos que a acção é parcialmente coincidente, traduzida pelos
verbos "apagar" e "suprimir".
Contudo, não só a acção danosa, implica, igualmente, destruir, danificar, tornar não utilizáveis ou
afectar a capacidade de uso, como os dois tipos legais se afastam no respectivo âmbito de protecção
e na intenção do agente (24) , (25) .
Com efeito, no dano relativo a dados ou programas informáticos, o objecto de protecção reconduzse a dados ou programas informáticos alheios, com o intuito de causar prejuízo ou obter beneficio
ilegítimo, ao passo que o âmbito de protecção da sabotagem é mais lato na medida em que se
estende, igualmente, à interferência em sistema informático, desta feita, por forma entravar ou
perturbar o seu funcionamento ou a comunicação de dados à distância.
Noutro plano, distinguem-se, igualmente, no que tange ao âmbito da tutela penal: no dano relativo
a dados ou programas informáticos está em causa a integridade do valor económico dos dados e
programas em sentido quantitativo e qualitativo (26) na sabotagem não se visa somente evitar
danos nos programas e nos equipamentos, pois está em causa a autonomia do valor acrescentado
que a informática aporta, vendo-se a máquina no seu funcionamento e nas prestações para que é
solicitada e a relevância social dessas prestações (27) , (28).
A sabotagem informática é um crime de natureza pública, circunstância que é elucidativa da
importância que o legislador confere ao bem jurídico protegido
Trata-se de um crime de dano (29) e contra a propriedade que, embora exija uma específica intenção
de perturbação, não contempla o objectivo de alcançar um benefício ilegítimo, bastando uma
intenção puramente malévola (30) . Aquela particular intenção concretiza-se pela introdução,
alteração ou supressão de dados ou programas informáticos.
O artigo 7º da Lei n° 109/91 pune com pena de prisão até um ano ou com pena de multa até 120 dias
o agente que, não estando para tanto autorizado e com a intenção de alcançar, para si ou para
outrem, um benefício ou vantagem ilegítimos, de qualquer modo aceder a um sistema ou rede
informáticos (31) , (32).
A moldura eleva-se a:
8
-
prisão até três anos ou multa se o acesso for conseguido através de violação de regras de
segurança; (33)
-
prisão de um a cinco anos quando:
a) através do acesso, o agente tiver tomado conhecimento de segredo comercial ou industrial ou de
dados confidenciais, protegidos por lei;
b) o beneficio ou vantagem patrimonial obtidos forem de valor consideravelmente elevado.
Neste tipo leal a tentativa é punível e nos casos referidos nas alíneas do parágrafo anterior o crime é
público (34) assumindo a natureza semi-pública nos demais.
Alguns Autores relacionam o âmbito de protecção da norma, em primeira linha, com o designado
domicílio informático (35) , encarando o tipo legal como algo semelhante à introdução em casa
alheia (36) , (37) .
Em busca do bem jurídico cuja tutela está causa e colocando a questão "o que mais perturba a
sociedade quando alguém acede, sem o respectivo consentimento ou excedendo-o, a um
determinado computador?" Fernando (38) elenca três respostas possíveis:
-
considerar que tais actos podem levar a danos nos sistemas e redes informáticos e, nesse
caso, estaria em causa uma dimensão essencialmente patrimonial, como efeito directo da
acção ilícita (39);
-
considerar que a preocupação maior é o conteúdo dos sistemas informáticos enquanto
expressão da própria pessoa, seja em termos de tipos de programas compilados, seja todo o
historial da pessoa que ali pode estar registado;
-
considerar que se trata de uma resposta às acções que, tendo outras dimensões de
protecção, podem determinar perda de confiança da comunidade jurídica no sistema
informático e nas redes informáticas, degradar a sua relação com o novo estilo de vida que
se verifica, por força da pressão que é imposta pela informática (40) .
Para o Autor em causa, nesta última hipótese, o bem jurídico protegido relaciona-se com a
"segurança ou intangibilidade dos sistemas informáticos", surgindo, assim, como complexo e difuso.
Nesta vertente existem diversas dimensões a considerar:
-
a quebra de confiança na utilização destes sistemas traduz-se na generalização de um medo
ou de uma sensação de insegurança na utilização de tais equipamentos, de que, afinal de
contas, essa utilização traduza um desperdício de tempo e de recursos;
-
directamente associado a este domínio, designadamente, devido à causa de justificação
"falta de autorização" que se encontra inscrita no tipo de ilícito, somos conduzidos à
preservação da "circularidade fechada da comunicação" um domínio em que o usus
excludendi deve ser salvaguardado;
-
o reconhecimento de que as situações de break-in podem importar consequências ao nível
dos bens informáticos sobre as quais incidem;
-
aquelas situações podem levar à ruptura de programas informáticos, à danificação de
estruturas do equipamento informático, à destruição de documentos e conteúdos ancorados
9
na plataforma informática, ou, ainda, à perda ou suspensão das funcionalidades dos
mesmos.
Continuando a seguir o Autor citado, destas vertentes decorre o seguinte:
-
a produção de danos para quem sofre tais acções, chama à colação do plano da
patrimonialidade;
-
existe uma dimensão da realização humana, traduzida em documentos, em registos, em
tipos de programas seleccionados que se encontram ancorados naquelas plataformas
informáticas, que por sua vez, se relaciona com uma expressão da privacidade;
-
actualmente a sociedade não prescinde do uso de estruturas informáticas, por isso, quando
estas sofrem instabilidade fruto de acções delitivas, os operadores desmotivamse, deixa de
justificar-se a aposta na inovação e na apresentação de novos modelos de comércio ou de
novas funcionalidades e também os próprios consumidores ou utilizadores deixam de
reconhecê-las como formas de utilização, por desconfiança, porque as consideram ineficazes.
Aceitamos que a protecção da integridade dos sistemas informáticos e redes informáticas, assim
como o reconhecimento social da necessidade de preservação dos conteúdos constantes ou que
circulam nas plataformas informáticas fazem do tipo legal do artigo 7º uma barreira para evitar a
prática de outros ilícitos mais desvaliosos (41) .
Não comungamos, no entanto, da tese deste Autor quando relaciona o acesso ilegítimo à
desmotivação dos operadores e à retracção do uso dos meios informáticos por parte dos
consumidores.
Senão vejamos.
O delito inerente ao "acesso ilegítimo" concretiza-se por qualquer modo normalmente inidóneo (42)
de aceder a um sistema ou rede informáticos (43) , (44) .
O tipo legal exige a intenção de alcançar beneficio ou vantagem ilegítimos que pode reconduzir-se ao
desafio à segurança do visado, ao prazer da intrusão; bem como à vanglória publicitada do feito (45) .
Alguns Autores (46) , (47) referem-se a estes benefício ou vantagem como sendo de natureza
patrimonial. Não podemos concordar com esta posição porquanto, por um lado, o legislador não fala
em enriquecimento e, por outro, como se escreveu anteriormente, o agente pode retirar
beneficios/vantagens com importante conteúdo de carácter não patrimonial. Nesse sentido,
podemos chamar à colação, por exemplo, o artigo 256° do Código Penal, no qual o legislador
emprega idêntica expressão sem que pretenda restringir a existência da falsificação aos casos em
que o agente visa somente benefício patrimonial (48) .
Acresce que se trata de um crime de perigo (49) abstracto (50) , já que o legislador não exige como
elemento constitutivo a verificação de qualquer dano ou lesão em dados ou programas informáticos
ou sistema de comunicação de dados à distância decorrente da intrusão não autorizada, bastando-se
com a colocação dos mesmos em risco com tal actuação.
A efectiva lesão dos dados, programas, sistema informáticos ou de comunicação de dados à distância
não se concretiza com uma conduta que preencha os elementos objectivos e subjectivos do artigo 7°,
mas sim com uma actuação que se subsuma nos tipos legais dos artigos 5°, 6° ou 8°.
Podemos dizer que a Lei n° 109/91 tem em vista a protecção do bem jurídico "segurança ou
intangibilidade dos sistemas informáticos" mas alcança-o de forma gradual criando uma malha de
10
protecção sucessiva e com diversas vertentes, por forma a obter uma tutela eficaz e combater os
efeitos nefastos da utilização indevida da nova tecnologia no domínio da informática.
Por outras palavras, se é certo que o artigo 7° não contempla a acção daquele que por mera
curiosidade, testando as suas capacidades e conhecimentos que são difundidos via Internet, acede –
penetra - num sistema informático, sem autorização, e consulta os seus conteúdos, por ser
entendimento do legislador que tal actuação não é nefasta, não deixa de ser verdade que é
sucessivamente mais grave aceder:
-
com intenção de alcançar um ganho económico ou notoriedade, publicando em sites o
resultado das acções de intrusão;
-
apagar dados, ocultá-los, impedir a sua utilização com a referida intenção (51) ;
-
apagar ou suprimir dados por forma a interferir ou entravar um sistema informático (52) ou
comunicação de dados à distância (53) .
Em suma, as soluções para o problema que subjaz à questão "o que mais perturba a sociedade
quando alguém acede, sem o respectivo consentimento ou excedendo-o, a um determinado
computador?" não são alcançadas somente com o tipo legal do artigo 7º, mas com este e com os
artigos 5° ou 6° ou 8º em conjunto.
Coloca-se a questão de saber se existe um concurso ideal de crimes, mais especificamente, uma
relação de consunção entre a sabotagem informática e o acesso ilegítimo (54) .
Afigura-se-nos que a resposta tem de ser negativa (55) , (56) .
Seguindo a orientação do Prof. Gonçalo (57) , diremos que a relação de consunção existe quando os
tipos legais têm entre si laços de dependência no que tange aos valores ou bens jurídicos que os
inspiram. Alguns bens jurídicos são formados pela função de dois ou mais valores já protegidos por
outros preceitos penais, noutros casos, resultam de se acrescentar um novo elemento ao valor ou
bem jurídico de outro tipo e noutras situações são entre si diversos por exprimirem no plano criminal
a específica significação de diferentes formas ou graus de ofensa de um mesmo interesse ou valor.
Entre tais valores ou bens jurídicos existem relações de mais ou de menos, contendo-se uns nos
noutros, o que cria uma espécie de hierarquia entre preceitos, na medida em que pode determinar a
exclusão da eficácia de uns em benefício de outros (58) .
A situação surge quando diversos tipos legais se apresentam ao mesmo para se aplicar à mesma
situação de facto e a reacção conta a violação concreta do bem jurídico prevista na norma que
protege o bem jurídico de forma menos abrangente cede perante a aplicação do preceito que visa a
defesa mais extensa outros.
Como dissemos, o tipo legal do artigo 7° constitui um crime de perigo abstracto e constitui uma
barreira para evitar a prática de outros ilícitos mais desvaliosos. Por sua vez, o tipo legal do artigo 6°
é um crime de resultado que se destina a proteger o normal fluxo de informação e o seu valor
enquanto unidade operacional que permite uma certa fluidez de comunicação e armazenagem de
dados.
A relação de consunção é clara quando está em causa o tipo legal do artigo 5° uma vez que existe,
também, coincidência na intenção do agente e na falta de autorização.
No caso do artigo 6° não interessa se o agente teve em vista um beneficio ilegítimo e se está ou não
autorizado a aceder aos dados ou sistema informático (59) , mas sim se teve intenção de interferir ou
11
entravar o funcionamento de um sistema informático, por aqueles constituído, ou um sistema de
comunicação de dados à distância.
Se é certo que o agente apenas sabota porque acedeu, as condições em que o fez não são relevantes
para o preenchimento do tipo legal. Por outro lado, as motivações num e noutro caso são bem
distintas.
Temos, por isso, de concluir que existe autonomia entre os dois tipos legais.
Vejamos agora os factos.
Em 5 de Agosto de 2001, a partir da sua residência e utilizando o telefone n, o arguido Jacinto Castro
ligou-se à Internet através do IP 213.30.18.110 e acedeu o sistema informático da Europol através do
site dessa entidade em Haia, com o endereço http:.
Fê-lo utilizando um método que consistia na utilização de programas com códigos sequenciais,
através da introdução dos comandos "cmd.exe" e "set" que funcionavam no sistema operativo que
tinha instalado no seu computador portátil, que foi apreendido na sequência de uma busca à sua
residência, e que lhe permitiam aceder aos sistemas Windows e a Servidores Web contornando a
utilização do nome do utilizador e passwords exigidos pelos mesmos para o respectivo acesso e só
conhecidas por um número restrito de funcionários.
Depois de ter acedido à zona confidencial e reservada dos computadores e sistema informático dessa
entidade, o arguido destruiu diversos dados contidos em ficheiros, designadamente, apagou os
"logs" da sua entrada na máquina, toda a directoria "winnt", removeu o conteúdo das pastas
webtemp, hotfix e um ficheiro da pasta www.root, inserindo no disco rígido do computador os
ficheiros "yy" e http:, deixando no primeiro uma mensagem que dava conta do ataque que havia
feito e avisando que nessa noite o site em causa faria parte das listas de sites "governamentais"
anteriormente alvo de ataques, terminando com saudações e a assinatura "mortalhas", alcunha por
que é conhecido no meio cibernáutico.
Cumpre esclarecer que na directoria "winnt" encontravam-se os ficheiros destinados ao bom
funcionamento do servidor da Europol, a pasta webtemp continha o software de instalação
temporária para correcção de falhas, a pasta hotfix continha directorias de actualização e o ficheiro
apagado da pasta www.root continha a estrutura da página de acesso ao site.
Daqui decorre que ao apagar aquela directoria, pastas e ficheiro, o arguido entravou
efectivamente o funcionamento do sistema informático da Europol, como era sua intenção, dados
os comandos que executou - *del*
Por outro lado, o arguido agiu com intenção de adquirir maior notoriedade no meio informático
como cracker uma vez que como deixou claro, na mensagem que fez inserir no disco duro do
computador da Europol que as informações colhidas com a intrusão destinavam-se a ser
publicitadas o seu site, à semelhança do que sucedera com outros.
Não foi possível apurar em sede de julgamento que o arguido tenha sido o autor da acção levada a
cabo na CMVM
Constata-se que, com a sua actuação, o arguido praticou um crime de acesso ilegítimo por referência
ao n° 2 do artigo 7º (60) e um crime de sabotagem informática por referência ao n° 1 do artigo 5°
ambos da Lei n° 109/91.
12
Passemos agora a fazer a determinação da medida da pena. Numa concepção moderna, a finalidade
essencial e primordial da aplicação da pena reside na prevenção geral, sendo este conceito que
justifica a respectiva moldura.
Com efeito, esta corresponde ao limite a comunidade entende necessária à tutela das suas
expectativas na validade das normas jurídicas.
O limite máximo da pena constitui o ponto óptimo de realização das necessidades preventivas da
comunidade. No entanto, abaixo desta medida de pena, outras haverá que a comunidade entende
que são ainda suficientes para proteger as suas expectativas na validade das normas. O limite
mínimo da pena surge, neste contexto, como o ponto absolutamente imprescindível para se realizar
essa finalidade de prevenção geral, encarado sob a forma de defesa da ordem jurídica (61) .
A prevenção especial, por seu lado, é encarada como a necessidade de socialização do agente,
embora no sentido, modesto mas realista, de o preparar para no futuro não cometer outros
crimes.
Por sua vez, a culpa é chamada a desempenhar o papel de limite inultrapassável de todas e
quaisquer considerações preventivas.
Não podemos esquecer que a determinação concreta da medida da pena, dentro dos limites
definidos na lei, é feita em função da culpa do agente e das exigências de prevenção, isto é, a
reintegração social do delinquente e a protecção dos bens jurídicos
(62) .
A protecção de bens jurídicos implica a utilização da pena para dissuadir a prática de crimes pelos
cidadãos (63) , incentivar a convicção de que as normas penais são válidas e eficazes e aprofundar a
consciência dos valores jurídicos por parte destes (64) . A protecção de bens jurídicos significa ainda
prevenção especial como dissuasão do próprio delinquente potencial. Por outro lado, a reintegração
do agente significa a prevenção especial na escolha da pena ou na sua execução (65) .
Finalmente, no que tange à retribuição, a pena como censura da vontade ou da decisão contrária ao
direito não pode, em caso algum, ultrapassar a medida da culpa.
Em suma, a escolha da pena terá assim de ser perspectivada em função da adequação, proporção e
potencialidade para atingir os objectivos estipulados no artigo 40º do Código Penal.
Vejamos, agora, os factores de determinação concreta da medida da pena à luz do artigo 71° do
Código Penal.
O arguido agiu com dolo directo intenso revelado pela utilização dos conhecimentos da sua
profissão, aprimorados pela auto-instrução com manuais destinados à actividade dehacking e
cracking recolhidos na Internet e o investimento que fez dotando o seu computador de ferramentas
apropriadas a explorar a vulnerabilidade dos sistemas informáticos tornando-os alvos indefesos da
sua acção.
A intensidade do dolo encontra-se presente, igualmente, na notoriedade que o arguido alcançava
no meio cibernaútico com a criação de um site onde publicitava e fornecia informação confidencial
ou privilegiada que recolhia durante os seus ataques.
A carga ilícita da sua conduta assume contornos de média gravidade, atentos os bens jurídicos
violados e a sua hierarquização no ordenamento jurídico.
13
Como consequência da sua conduta, a Europol teve prejuízos decorrentes da necessária reposição
da directoria, pastas e ficheiro eliminados e a implementação de mecanismos de segurança, uma
vez que o ataque e a divulgação do ponto vulnerável do sistema informático o tornava presa fácil
de outros hackers/crackers. Também não podemos esquecer que esta entidade lida com
informações confidenciais, desconhecendo-se, todavia, consequências a este nível,
designadamente, se ocorreu a efectiva divulgação que havia sido anunciada pelo arguido.
Este sofreu anteriormente, condenações pelos factos mais variados:
-
em 15 de Dezembro de 1988 por ofensas corporais;
em 19 de Agosto de 1990 por tentativa de homicídio;
em 16 de Novembro de 1992 por consumo de estupefacientes;
em 5 de Novembro de 2001 por desobediência.
Cumpriu pena de prisão.
Na escolha da pena e na medida concreta importa considerar a culpa elevada e a expectativa da
comunidade na reposição das normas jurídicas violadas, actividade como aquela que o arguido teve
põe em causa a confiança dos cidadãos no funcionamento da Internet e leva-os a recear nas
transacções que efectuam usando esse meio.
Por outro lado, não podem ser descuradas as necessidades de prevenção especial que, no caso, se
apresentam elevadas: o arguido tomou a decisão de se tomar um "hacker" e um "craker", adquiriu
conhecimentos com essa finalidade, penetrou: em diversos sites de acesso reservado; violando as
respectivas regras de segurança, publicava em site que criou para o efeito informação que obtinha
dessa forma, tinha em vista ganhar notoriedade, propunha-se ensinar potenciais interessados que
pretendessem iniciar-se na mesma actividade; no que tange à sua personalidade, revelada pelo
certificado de registo criminal, podemos dizer que se trata de alguém agressivo e rebelde, que tem
dificuldade em aceitar os limites impostos — veja-se a condenação do Tribunal Militar, assim como,
por consumo de estupefacientes e desobediência, além do caso em análise.
Na moldura penal abstracta dos dois tipos legais verifica-se a previsão em alternativa de penas de
multa e de prisão.
Como se extrai do artigo 70º do Código Penal, o legislador manifesta uma clara preferência pelas
penas não detentivas, sempre que através delas possam ser cabalmente realizadas as finalidades da
punição, isto é, a reintegração social do delinquente e a protecção dos bens jurídicos.
Numa situação como a que analisamos, as considerações de prevenção geral e mesmo de prevenção
especial, assim como o grau de culpa na prática do facto são determinantes para afastar a
possibilidade de optar pela pena não detentiva dada a pequena moldura da pena de multa.
Ponderados os factores anteriormente enunciados, a medida concreta da pena adequada
à punição dos factos cometidos é a seguinte:
» acesso ilegítimo: um ano de prisão;
» sabotagem informática: dois anos de prisão.
A prática de vários crimes antes do trânsito em julgado da condenação por qualquer deles determina
a realização de cúmulo jurídico de forma a fazer-lhes corresponder uma pena única.
Esta terá uma moldura penal abstracta cujo máximo traduz a soma das penas parcelares que tenham
sido impostas e como mínimo a mais elevada daquelas.
14
Em concreto, o limite máximo corresponde a prisão de três anos e o mínimo a um ano.
Operando o cúmulo jurídico, seguindo as regras do artigo 77° e atendendo aos factos praticados e à
personalidade do arguido, determina-se a condenação numa única pena de dois anos e seis meses de
prisão.
As penas curtas de prisão, que a lei, segundo o seu próprio critério, entendeu delimitar ate aos três
anos, devem ser substituídas pela suspensão da execução se, atendendo à personalidade do agente,
às condições da sua vida, a sua conduta anterior e posterior ao crime e às circunstâncias deste, vier a
concluir-se que a simples censura do facto e a ameaça da prisão realizam de forma adequada e
suficiente as finalidades da punição (66) .
A suspensão da execução da pena constitui uma medida de conteúdo reeducativo e pedagógico, de
forte exigência no plano individual, particularmente adequada para, em certas circunstâncias e
satisfazendo as exigências de prevenção geral, responder eficazmente a imposições de prevenção
especial de socialização, ao permitir responder simultaneamente à satisfação das expectativas da
comunidade na validade jurídica das normas violadas, e à socialização e integração do agente no
respeito pelos valores ao direito, através da advertência da condenação e da injunção que esta
impõe para que o agente conduza a vida de acordo com os valores inscritos nas normas (67) .
Por outro lado, não são considerações de culpa que devem ser tomadas em conta, mas juízos de
prognose sobre o desempenho da personalidade do agente perante as condições da sua vida, o seu
comportamento e as circunstâncias do facto, que permitam fazer supor que as expectativas de
confiança na prevenção da reincidência são fundadas (68) , tomando por referência o momento da
decisão e não da prática do crime (69) .
No caso não pode concluir-se por uma prognose favorável à ressocialização do arguido.
Com efeito, esta não foi uma acção isolada, mas sim inserida num contexto lato em que o arguido,
movido por vaidade e desejo de notoriedade, não apenas levava a cabo intrusões em diversos
sistemas informáticos, como criou um site para publicitar as informações que obtinha e
disponibilizava programas de treino para hackers.
Não estamos perante um principiante que actua por curiosidade, mas antes, perante alguém que
desenvolve um trabalho específico para quebrar sistemas informáticos, se propõe ensinar outros a
praticar idênticas acções e se esforça
por criar ligações a sites reconhecidamente ligados à actividade de hacking, como é o caso do
Astalavista, e obter destes o reconhecimento.
Tendo em conta os traços da sua personalidade e os diversos contactos com o sistema judicial que
resultaram em diversas condenações, designadamente, em pena de prisão que cumpriu e não foram
suficientes para o advertir para a necessidade de manter um comportamento conforme ao Direito,
não acreditamos que o arguido seja capaz de manter a disciplina necessária para, com os
conhecimentos que adquiriu, resistir à actividade de hacker e cracker em que se notabilizou.
O artigo 109° do Código Penal dispõe que são declarados perdidos a favor do Estado os objectos que
tiverem servido ou estivessem destinados a servir para a prática de uni facto ilícito típico, ou ainda,
que por ele tivessem sido produzidos, se puserem em causa a segurança das pessoas, a moral ou a
ordem públicas ou oferecerem sério risco de ser utilizados para o cometimento de novos factos
ilícitos típicos, o que tem lugar ainda que nenhuma pessoa determinada possa ser punida pelo facto.
No caso, justifica-se declarar perdido a favor do Estado o computador descrito a fls. 2 do anexo I.
15
IV DECISÃO
Tudo visto, o Tribunal, julgando a acusação parcialmente provada e procedente:
a) absolve o arguido Tiago da imputada autoria material de um crime de acesso ilegítimo, previsto
e punível pelos artigos 2° alíneas b) e c) e 7° n°s 1 e 2 e um crime de sabotagem informática,
previsto e punível pelos artigos 2° alíneas b), c) e g) e 60 n°s 1 e 2, ambos da Lei n° 109/91 de 17 de
Agosto, por referência aos factos elencados nos n°s 9) a 16) da fundamentação de facto;
b) condena o arguido Tiago pela autoria material, em concurso real, de:
-
um crime de acesso ilegítimo, previsto e punível pelos artigos 2° alíneas b) e
c) e 7° n°s 1 e 2 da Lei n° 109/91 de 17 de Agosto, por referência aos factos elencados nos n°s 17) a
22) da fundamentação de facto, na pena de um ano de prisão;
-
um crime de sabotagem informática, previsto e punível pelos artigos 2°alíneas b) e c) do e
6º nº 1 do mesmo diploma, por referência os factos elencados nos n°s 17) a 22) da
fundamentação de facto, na pena de dois anos de prisão;
e em cúmulo jurídico, na pena única de dois anos e seis meses de prisão;
c) condena-o, ainda, em 5 UCs de taxa de justiça, com acréscimo de 1% a favor do Fundo para
vítimas de crimes violentos (artigo 13° do DL 423/91 de 30 de Outubro), em custas e procuradoria
mínima;
d) declara perdido a favor do Estado o computador descrito a fls.2 do anexo I.
Boletins da D.S.I.C.
Notifique e deposite.
Guimarães, 26 de Junho de 2007.
(Texto processado e revisto pela primeira signatária).
16
(1) Processo nº 11287/01.1TDLSB
(2) Cfr. Garcia Marques e Lourenço Martins in Direito da Informática, Almedina, 2000, pg 493 e 494.
(3) Cfr. Faria Costa e Helena Moniz, "Algumas Reflexões Sobre a Criminalidade Informática em
Portugal" in BFDC, vol: LXXIII, 1997, pg. 298.
(4) É frequente encarar a criminalidade informática como todo o acto em que o computador serve de
meio para atingir um objectivo criminoso ou em que o computador. é o alvo desse acto.
(5)Citada por Garcia Marques e Lourenço Martins, in op. cit., pg. 494.
(6) Cfr. Garcia Marques e Lourenço Manias, in op. cit., pg. 500 que dão conta da seguinte
classificação:
- amadores: pessoas colocadas em lugares de confiança e com certo nível de conhecimentos
técnicos de informática que cometem o crime por razões financeiras;
- perturbados: pessoas com desequilíbrio psicológico mais ou menos grave;
- membros do crime organizado: indivíduos que exploram potenciais ganhos muito elevados
em contrapartida de riscos comparativa e progressivamente menores;
- espiões de potências estrangeiras ou para fins de furto de segredos comerciais;
- quebra sistemas ou "hackers": indivíduos que utilizam as falhas de procedimentos e de
segurança no acesso aos sistemas, que agem, menos por perfídia ou com intuitos
fraudulentos, mas mais, por puro prazer;
- extremistas idealistas: uso indevido dos meios informáticos por razões ideológicas,
mormente com fins terrorista
(7) Os mesmos Autores, desta feita, por referência e motivação encontram a seguinte tipologia:
- utilitaristas: determinados por ganhos financeiros, almejam, acima de tudo, o desvio de
fundos;
- empreendedores: agem por jogo ou desafio, praticam pirataria de software e são
especialistas na descoberta de palavras de passe;
- agressivos: guiados pelo propósito dê compensar uma frustração ou agravo profissional;
- destruidores: têm em vista a destruição das empresas ou de organizações através da
sabotagem ou do terrorismo.
(8) "Vide A Responsabilidade de Pessoas Colectivas no Âmbito da Criminalidade informática em
Portugal in http://www.apdi.pt/apdi/doutrina, pg. 4.
(9) Diploma a que se referem todas as normas citadas sem menção de proveniência.
(10) Ver igualmente, os artigos 43 a 47° da Lei n° 67/98, de 26 de Outubro referentes a tipos legais
dirigidos à protecção dos dados pessoais, assim como o artigo 104° da Lei n°5/2004 de 10 de
Fevereiro, referente à criminalização das actividades de fabrico, importação, exportação, venda,
locação, instalação, manutenção ou substituição, para fins comerciais, de equipamentos ou sistemas
informáticos concebidos ou adaptados com vista a permitir o acesso a um serviço protegido, sob
forma inteligível, sem autorização do prestador do serviço.
(11) No sentido de que o diploma em causa tutela a própria funcionalidade dos sistemas informáticos
vide Almeida Costa in Comentário Conimbricense do Código Penal, Parte Especial, dirigido por
Figueiredo Dias, Coimbra Editora, 1999, Tomo II, pg. 399.
(12) Fernando in "O "hacking" enquanto crime de acesso ilegítimo, das suas especialidades, à
utilização das mesmas para a fundamentação de um novo Direito" (publicado na internet) refere-selhes como crimes com uma dimensão técnica e uma componente de execução etérea, denominando17
os de "crimes levitacionais" em virtude de, ao contrário da criminalidade tradicional, cuja comissão
se reconduz directamente a uma determinada acção e à orbita geográfica, serem, necessariamente,
crimes praticados à distância.
(13) Para Marta (in O tratamento juridico-penal da transferência de fundos monetários através da
manipulação ilícita dos sistemas informáticos. Studia Iuridica, 82, Coimbra Editora. pg 34) os crimes
essencialmente informáticos são aqueles em que o bem jurídico consiste numa realidade de natureza
informática, num interesse tecnológico, cuja utilidade e valor sociais são penalmente reconhecidos e
protegidos. Distingue-os dos crimes:
- tipicamente informáticos nos quais não está necessariamente em causa um bem jurídico
gerado pela sociedade tecnológica, mas outro já conhecido e tutelado pelo ordenamento
juridico-penal, contudo, pela forma que concretamente assume, só pode ser agredido por
meios informáticos;
- acidentalmente informáticos aqueles em que a utilização do computador integra apenas o
rnodus operandi que em nada contende com o tipo legal.
(14) Classificando os crimes informáticos em função da ameaça fundamental, a Autora citada na nota
anterior (in op. cit., pg. 36) encontra três categorias: a perda de exclusividade do controlo e da
confidencialidade (caso do acesso ilegítimo); a perda de integridade (caso da sabotagem informática)
e a perda de disponibilidade ou da sua utilidade funcional (caso do dano relativo a dados ou
programas informáticos).
(15) Está em causa, pois, software. Quando o hardware seja afectado estaremos perante um crime
de dano previsto no artigo 212° do Código Penal. Neste sentido, Faria Costa e Helena Moniz, in. op.
cit. pg. 329.
(16) In "Les crimes informatiques et d autres crimes dans la domaine de la tecnologie informatique
au Portugal" publicado em Direito Penal da Comunicação, Alguns Escritos, Coimbra Editora, 1998, pg.
32.
(17) Desta feita, in Algumas reflexões sobre o estatuto dogmático do chamado "Direito Penal
Informático" publicado em Direito Penal da Comunicação, Alguns Escritos, Coimbra Editora, 1998, pg.
109.
(18) In op cit, pg 78.
(19) Nessa medida, a tutela do valor patrimonial que os dados encerram sai reforçada, visto que o
valor do dano da perturbação também depende do valor da informação armazenada
informaticamente.
(20) O valor do prejuízo é, de resto, um elemento típico da agravação da moldura penal na
generalidade dos tipos de ilícito patrimoniais. No entanto, aqui, há algo de novo: a valoração do
prejuízo não se esgota na avaliação da perda de bens materiais, para se alargar à ponderação de
interesses económicos inerentes ao tratamento e armazenamento informáticos da informação.
(21) A densificação destes conceitos é levada a cabo nas alíneas g) e h) do artigo 2°, respectivamente,
quando exceda 50 e 200 unidades de conta avaliadas no momento da prática do facto - em termos
semelhantes, de resto, aos previstos no artigo 202° alíneas a) e b) do Código Penal.
(22) Citado por Garcia Marques e Lourenço Martins, in op. cit., pg. 524.
(23) Garcia Marques e Lourenço Mastins, in op. cit, pg. 526 defendem que esta norma dá resposta
jurídica à fenomenologia correspondente às "bombas lógicas" e aos "vírus".
18
(24) Note-se, todavia, que o artigo 5° refere expressamente uma condição objectiva de punibilidade:
o agente actua sem para tanto estar autorizado, as mesmas acções levadas a cabo por quem assuma
tais comportamentos com autorização do titular dos dados ou programas informáticos não
consubstanciam a prática de qualquer ilícito.
(25)
Nesse
sentido,
vide
Ana
Martinho
http://www.fd.unl.pt/docentes_docs/ma/MEG_MA_1301.doc.
e
Ricardo
Mastins
in
(26)Note-se que no tipo legal previsto no artigo 5° o bem jurídico protegido reconduz-se á
integridade e bom funcionamento ou bom uso de dados ou programas informáticos.
(27) Cfr. Garcia Marques e Lourenço Martins, in op. cit., pg. 526 e 527.
(28)
Nesse
sentido,
vide
Ana
Martinho
http://www.fd.unl.pt/docentes_docs/ma/MEG_MA_1301.doc.
e
Ricardo
Martins
in
(29) No sentido de que o crime de sabotagem informática é muito mais um crime de dano
informático do que o previsto no artigo 5°, vide Faria Costa in Algumas reflexões sobre o estatuto
dogmático do chamado "Direito Penal Informático", pg. 111. Este Autor defende esta posição em
virtude de este último introduzir, além do elemento da autorização, um verdadeiro animus nocendi.
(30)Nesse sentido vide Faria Costa "Les crimes informatiques et d autreè crimes", pg.
(31) Neste caso, pune-se qualquer modo de acesso. Nesse sentido, vide Ana Martinho e Ricardo
Martins in op. Cit.
(32) Para Pedro Dias Venâncio (in Investigação e Meios de Prova na Criminalidade Informática, pg.
13, acessível em www.verbojuridico.pt) o termo "acesso ilegítimo" — que consta da epígrafe da
norma — abrange, basicamente, a infracção relativa às ameaças à segurança — confidencialidade,
integridade e disponibilidade — dos sistemas informáticos. Este Autor salienta que o meio mais
viável de prevenção do acesso não autorizado é, indubitavelmente, a introdução e o
desenvolvimento de medidas de segurança eficazes.
(33) Designadamente, quando o agente contorne as passwords que protegem o sistema e limitam o
acesso a pessoas seleccionadas.
(34) Defendendo que, se o dano atingir determinados valores há um risco de perturbação da paz
social e da confiança das pessoas na segurança jurídica e, no caso, na fiabilidade dos meios
electrónicos, motivo pelo qual se considera haver um interesse público essencial em agir
criminalmente vide Pedro Dias Venâncio in op. cit., pg. 7.
(35) Nesse sentido, Marta in op. cii., pg. 107.
(36) Cfr. Garcia Marques e Lourenço Martins, in op. cit., pg. 529.
(37) No sentido de que o bem jurídico protegido é o património do lesado e a segurança dos sistemas
informáticos, vide Pedro Dias Venâncio in op. cit, pg. 14. Tal afigurase- nos restritivo, porquanto
poderá estar em causa, igualmente, a privacidade do conteúdo do sistema ou rede informativos.
(38) In op.cit.
(39) Criticando esta posição dá como exemplo caricatural as pessoas que adquirem sistemas
informáticos como objectos de decoração.
19
(40) Dando preferência a esta última resposta, o Autor em causa defende que com as anteriores
nada de novo, existe no universo do crime de acesso ilegítimo, pois o âmbito de protecção não se
diferencia do estilo de bens jurídicos previstos, respectivamente, na órbita dos crimes conta o
património ou na órbita dos crimes contra a reserva da vida privada.
(41) Aqueles em que a dimensão do dano ou da revelação de conteúdos surge de forma mais
intensa.
(42) Designadamente, sem autorização.
(43) O tipo legal tanto está pensado tanto para a intrusão não autorizada num computador alheio
‘vasculhando o respectivo conteúdo sem a devida autorização, como para actuação dos "hackers"
que consiste, normalmente, no uso de um microcomputador, ligado por um modem á rede pública
de telecomunicações, para aceder a programas informáticos.
(44) No entanto, dada a especifica intenção contemplada no tipo legal, não lidamos com a simples
intrusão.
(45) Garcia Marques e Lourenço Martins, in op. cit., pg. 529. No entanto, estes Autores, ao referiremse á alínea b), parecem entender que os benefícios e vantagem que todo o preceito tem em vista são
de natureza patrimonial. Não concordamos com esta perspectiva na medida em que, por um lado, é
redutora da protecção a conferir pela norma e, por outro, a expressão "patrimonial" apenas surge na
agravação substancial que se justifica, se além do prazer inerente à conduta, o agente alcançar um
enriquecimento de valor superior a 200 unidades de conta.
(46) Vide nota anterior.
(47) No sentido de que no tipo legal em causa o agente visa obter um enriquecimento e que o
sistema português apenas pune os hackers que acedem a sistemas de dados pessoais, violando,
desse modo, o bem jurídico-criminal da reserva da vida privada, assim como os crackers, Faria Costa
e Melena Moniz in op. cit., pg. 332.
(48) Cfr. AC. RL de 19.06.2001 ia CJ Ano XXVI, tomo 3, pg. 153 onde se escreve que constitui beneficio
ilegítimo toda a vantagem, patrimonial ou não patrimonial, que se obtenha através do acto de
falsificação.
(49) A noção de crime de perigo contrapõe-se à de crime de dano, caracterizando-se pela não
exigência típica de efectiva lesão do bem jurídico tutelado pela norma. Serão, assim, crimes de perigo
aqueles cuja consumação se basta com o risco (efectivo ou presumido) de lesão do bem jurídico,
risco esse que se consubstancia numa situação de perigo, por si só si tutelada pela norma que, por
isso, consubstancia o "resultado" que se pretende evitar.
(50) Por sua vez, os crimes de perigo concreto e de perigo abstracto distinguem-se consoante o
perigo é ele próprio elemento do tipo ou só motivo dá proibição.
(51) O agente penetra no sistema informático de um concorrente e apaga do sistema informático
uma informação para evitar que este lance imediatamente no mercado um novo produto idêntico
àquele que se encontra em criação na sua empresa, procurando, desse modo, obter mais algum
tempo e ganhar competitividade.
(52) O agente introduz-se num sistema informático e apaga um programa que se destina a identificar
falhas ou fazer actualizações.
20
(53) O agente apaga uma pasta essencial ao funcionamento de um site do visado que, por isso, deixa
de estar acessível a quem queira consultá-lo.
(54) No sentido de que estamos em presença de uma infracção complementar da sabotagem vide
Ana Martinho e Ricardo Martins in http://www.fd.unl.pt/docentes_docs/ma/MEG_MA_1301.doc.
(55) Em sentido contrário, embora sem invocar fundamentos para a adopção dessa tese, vide
sentença proferida no Processo nº 1/97 da 9ª Vara Criminal do Circulo de Lisboa, 3ª Secção in http
//www.fd.unl.pt/docentes_docs/ma/MEG_MA_1301.doc.
(56) Faria Costa (in Les crimes informatiques et d autres crimes", pg.33) defende que existe acesso
ilegítimo quando o objectivo seja, fundamentalmente, retirar certo beneficio, passando a existir
sabotagem informática quando o agente, com esse acesso, venha a causar um dano, entravando ou
perturbando o sistema informático.
(57) In a teoria do Concurso em Direito Criminal, Colecção Teses, Almedina, 1983, pg. 130.
(58) Cfr. Gonçalo in op. Cit. Pg 131.
(59) O crime pode ser praticado por um funcionário do proprietário do sistema informático que está
autorizado a aceder ao servidor e que decide por qualquer razão, por exemplo, retirar um ficheiro
essencial para a estrutura do respectivo site de forma a impedir que terceiros possam ter acesso à
informação por este disponibilizada.
(60) Já que contornou a password de segurança.
(61) Cfr. Anabela Miranda Rodrigues citada por Ac. STJ de 10.03.2005 in http//www.dgsi.pt/processo
nº 05P224.
(62) Cfr. artigo 40º, nº 1 do Código Penal.
(63) Prevenção geral negativa.
(64) Prevenção geral positiva.
(65) Cfr. Ac. RL de 01.10.2003 in http://www.dgsi.pt/ processo n° 2001/2O03-3.
(66) Cfr artigo 50° nº 1 do Código Penal.
(67) Cfr Ac. do STJ de 09.01.2002 in http //www.dgsi.pt/ processo nº 03P853, Ac. STJ de 17.04.2004
in http//www.dgsi.pt/processo 03P3761.
(68) Cfr. Ac. STJ de 3.04.2003 in http//www.dgsi.pt/ processo n° 03P853, Ac. STJ de 17.04.2004 in
http//www.dgsi.pt/processo nº 03P3761.
(69) Cfr. Ac. RP de 19.07.2006 http//www.dgsi.pt/jtrp00039429.
21