Questões técnicas dificultam condenações por crimes cometidos na Internet
Autor: Demócrito Reinaldo Filho - Fonte: IBDI - Instituto Brasileiro de Política e Direito da Informática
Sempre imaginamos que a parte mais complicada na tarefa de persecução dos criminosos que atuam no ciberespaço estaria na sua identificação. Por causa da arquitetura da Internet, que favorece o anonimato, o grande obstáculo divisado para a imposição da lei penal sempre foi a dificuldade de identificação e localização dos criminosos que atuam na rede. Muitos crimes não são punidos devido à impossibilidade técnica de se rastrear as pessoas que os cometem. Essa realidade serve inclusive como incentivo à prática do crime nos ambientes cibernéticos.
Mas para quem pensava que a grande dificuldade quanto à responsabilização dos criminosos acabava aí, ou seja, que uma vez localizado e identificado o agente, este não se furtaria à sanção penal, o dia-a-dia das cortes judiciárias começa a comprovar o contrário: que a grande dificuldade pode aparecer em fase posterior, já depois de iniciado o processo judicial. O que parece estar se formando é a cruel constatação de que, nas causas envolvendo crimes na Internet, o Estado está sempre em desvantagem.
Essa constatação sobreveio no julgamento de casos recentes, em que os réus levantaram novas linhas de defesa, baseadas em questões técnicas de difícil solução. Num dos casos mais famosos, julgado por uma corte da Inglaterra no início de outubro passado, o réu Aaron Caffrey (um adolescente de 19 anos) foi absolvido da acusação de ter atacado o servidor de uma empresa. Denunciado com base na lei inglesa de crimes informáticos (o Computer Misuse Act) , ele alegou que seu computador foi tomado por um vírus do tipo trojan e, dessa forma, utilizado remotamente por um terceiro para o cometimento do crime. Muito embora especialistas tenham confirmado não terem encontrado sinais de vírus no computador dele, o Júri terminou por inocentá-lo - o réu alegou também que o vírus foi programado para se auto-destruir após realizar a operação. Esse foi apenas um de um total de três casos onde a alegação de vírus trojan teve sucesso (para os réus). Os dois anteriores estavam relacionados a acusações de pedofilia; os réus foram acusados de fazer downloading de pornografia infantil. Os seus advogados também sustentaram a tese de que os computadores foram "seqüestrados" por um vírus colocado por outra pessoa.
Não se pode dizer que o resultado desses julgamentos tenha sido incorreto. Especialistas confirmam a possibilidade de "seqüestro" de computadores por meio de vírus que permitem a um hacker controlar remotamente o computador "seqüestrado", sem deixar sinais dessa operação. O vírus pode se instalar no computador quando o usuário, sem saber, faz o download de um programa infectado, através de um website de aparência amistosa (mas preparado intencionalmente pelo hacker). Também pode vir junto com uma mensagem de e-mail enviada ao usuário. Esses precedentes demonstram, isso sim, a dificuldade que os órgãos estatais envolvidos com a persecução criminal terão daqui por diante, especialmente quando a defesa levanta questões altamente técnicas.
É claro que nós temos uma vantagem em relação ao sistema processual inglês, pois aqui apenas os crimes dolosos contra a vida é que são julgados por um Júri. Os demais são julgados por um juiz, dotado de formação técnica, mais inclinado a valorizar os aspectos meritórios da questão e menos influenciável por uma simples argumentação inteligente. Nem por isso as autoridades judiciárias brasileiras tenderão a encontrar menos dificuldade quando se tratar de processar crimes praticados no ciberespaço. É que o ônus da prova técnica será sempre um fardo por demais pesado. Com efeito, a prova pericial vai ficar cada vez mais importante nesses casos, mas o ônus de produzi-la permanecerá com a acusação. E sua produção será cada vez mais difícil, pois qualquer resquício de dúvida pode resultar na absolvição dos acusados.
A disciplina do onus probandi está prevista no art. 156 do Código de Processo Penal, que dispõe: "A prova da alegação incumbirá a quem a fizer; mas o juiz poderá, no curso da instrução ou antes de proferir a sentença, determinar, de ofício, diligências para dirimir dúvidas sobre ponto relevante". A primeira parte do dispositivo citado, como se vê, é que trata especificamente da questão do ônus da prova, e a segunda, sobre os poderes instrutórios do Juiz. A doutrina a considera (a primeira parte do art. 156) uma regra insatisfatória, pois dá a entender que todo tipo de prova cabe à acusação. Não é bem assim. Conforme anota Vicente Greco Filho, o Código de Processo Penal em verdade acolhe o critério "de que à acusação cabe a prova do fato constitutivo de sua pretensão ou de seu direito, que são as elementares do tipo e a autoria" . É dizer: ao Estado somente incumbe provar a existência do fato criminoso e a sua autoria, elementos que embasam o jus puniendi. Ao acusado, de sua vez, caberá a demonstração de outros fatos que possam impedir, modificar ou extinguir aquele jus puniendi, como, por exemplo, as causas de exclusão de ilicitude ou culpabilidade. Em suma, o réu tem que provar o fato que, a despeito da existência do fato constitutivo do jus puniendi, "tem, no seu plano material, o condão de impedir, modificar ou extinguir aquela pretensão - que são as excludentes" .
A alegação de "seqüestro" do computador por um "spyware" pode ser aceita como uma negativa de autoria. O réu, nesse caso, alega que não ele, mas uma outra pessoa, foi responsável pelo cometimento do crime. A Promotoria, assim, é quem tem que provar que foi realmente ele que cometeu o crime, isto é, tem que fazer prova da não existência de vírus em seu computador. E essa prova não pode ser relativa, mas tem que ser plena, completa, de maneira a não deixar qualquer dúvida quanto à autoria. Isso em razão do princípio in dubio pro reo, que leva à absolvição no caso de dúvida quanto à procedência da imputação. Basta que o réu suscite dúvida razoável, porque a dúvida milita em seu favor, para se ver livre da condenação. Havendo dúvida quanto à autoria, o Juiz tende a absolvê-lo apoiado no art. 386 do CPP, "por não haver prova suficiente para a condenação" (inc. VI).
Essa realidade processualística bem revela as dificuldades que os órgãos encarregados da persecução criminal terão daqui por diante, sempre que se depararem com defesas baseadas na alegação de existência de vírus e "spywares". Na prática, a Promotoria vai ter que provar, amparada na prova pericial, que o computador não foi infectado, que nenhum vírus apoderou-se dele e que não existe a possibilidade de ter se evaporado após completar a operação.
Parece que essa dificuldade não vai se resolver somente aumentando as estruturas das Promotorias e Delegacias, dotando-lhes de unidades especializadas no combate ao crime informático. O que dizer, por exemplo, da alegação de que o vírus se "evaporou" após completar a operação criminosa. Sempre vai haver dúvida sobre essa possibilidade, mesmo que a perícia diga em contrário. Se isso é tecnicamente possível - de um hacker apoderar-se de um computador alheio sem deixar vestígios -, o juiz sempre vai considerar essa possibilidade e admiti-la para apontar como duvidosa a prova (pericial) produzida pelo MP. Como se vê, algo mais precisa ser feito.
Há quem enxergue que esse tipo de questão tende a obscurecer os limites da responsabilidade penal individual. Michael Geist, professor de Direito na University of Ottawa Law School, no Canadá, prevê que "nós vamos ter que escolher o nível de responsabilidade que uma pessoa tem quando está operando o seu próprio computador" (em reportagem publicada no site da CNN , do dia 28 de outubro). De nossa parte, entendemos que a solução específica para lidar com problemas desse tipo reside em se promover uma alteração dos princípios clássicos de distribuição do onus probandi, no processo penal. Pelo menos em relação a certos tipos de defesa (alegações de fatos), o ônus da prova tem que ser expressamente transferido para o acusado, sob pena de se comprometer irremediavelmente a atividade de persecução criminal. As novas leis que dispuserem sobre crimes informáticos, sobretudo a modalidade de acesso não autorizado a sistema computacional, têm que prever o ônus da prova do réu, sempre que este alegar ter sido vítima de um ataque de vírus "spyware" ou "trojan", ou qualquer outra defesa que represente um ônus de prova técnica exagerado para a acusação.
A tendência de se alterar a distribuição do ônus da prova, em matéria de crimes informáticos, na verdade já vem ocorrendo. Nos EUA, muitos acusados pela prática de disseminação de pornografia infantil estavam sendo beneficiados com a alegação de que o material apreendido continha apenas imagens de adultos com aparência infantil, ou que era resultado de trabalho de computação gráfica, não envolvendo, assim, o abuso efetivo de crianças. O resultado prático foi que, na grande maioria dos casos, as pessoas flagradas na posse de imagens ilícitas (de pornografia infantil) escaparam à condenação ou ao simples indiciamento. Diante desse quadro, os legisladores norte-americanos editaram o "Protec Act" , que previu que a prova de não uso de crianças em material de pedofilia seria considerada uma affirmative defense, isto é, ônus processual do réu ou incriminado (ver, a respeito, artigo anterior de nossa autoria ).
Iniciativa semelhante certamente deverá ser observada em relação às alegações de seqüestro de computador por vírus "spyware", a título de negativa de autoria. Se por um lado deve-se ter a preocupação de não condenar uma pessoa pelo que ela efetivamente não fez, por outro surge a preocupação de que a alegação de vírus seja utilizada para absolver qualquer um, vítima ou não de um hacker. Alguém pode simplesmente alegar que outra pessoa seqüestrou seu computador, cometeu o crime e que, após isso, o programa (vírus) simplesmente se evaporou. Tal possibilidade pode se transformar em uma porta aberta para a impunidade. A preocupação aumenta quando se sabe que esse tipo de defesa tende a se tornar cada vez mais comum, na medida em que a utilização de "spywares", programas que permitem o roubo de senhas e bisbilhotar o computador de outro usuário, torna-se cada vez mais freqüente.
A questão está em debate.
Recife, 17.11.03.
Mas para quem pensava que a grande dificuldade quanto à responsabilização dos criminosos acabava aí, ou seja, que uma vez localizado e identificado o agente, este não se furtaria à sanção penal, o dia-a-dia das cortes judiciárias começa a comprovar o contrário: que a grande dificuldade pode aparecer em fase posterior, já depois de iniciado o processo judicial. O que parece estar se formando é a cruel constatação de que, nas causas envolvendo crimes na Internet, o Estado está sempre em desvantagem.
Essa constatação sobreveio no julgamento de casos recentes, em que os réus levantaram novas linhas de defesa, baseadas em questões técnicas de difícil solução. Num dos casos mais famosos, julgado por uma corte da Inglaterra no início de outubro passado, o réu Aaron Caffrey (um adolescente de 19 anos) foi absolvido da acusação de ter atacado o servidor de uma empresa. Denunciado com base na lei inglesa de crimes informáticos (o Computer Misuse Act) , ele alegou que seu computador foi tomado por um vírus do tipo trojan e, dessa forma, utilizado remotamente por um terceiro para o cometimento do crime. Muito embora especialistas tenham confirmado não terem encontrado sinais de vírus no computador dele, o Júri terminou por inocentá-lo - o réu alegou também que o vírus foi programado para se auto-destruir após realizar a operação. Esse foi apenas um de um total de três casos onde a alegação de vírus trojan teve sucesso (para os réus). Os dois anteriores estavam relacionados a acusações de pedofilia; os réus foram acusados de fazer downloading de pornografia infantil. Os seus advogados também sustentaram a tese de que os computadores foram "seqüestrados" por um vírus colocado por outra pessoa.
Não se pode dizer que o resultado desses julgamentos tenha sido incorreto. Especialistas confirmam a possibilidade de "seqüestro" de computadores por meio de vírus que permitem a um hacker controlar remotamente o computador "seqüestrado", sem deixar sinais dessa operação. O vírus pode se instalar no computador quando o usuário, sem saber, faz o download de um programa infectado, através de um website de aparência amistosa (mas preparado intencionalmente pelo hacker). Também pode vir junto com uma mensagem de e-mail enviada ao usuário. Esses precedentes demonstram, isso sim, a dificuldade que os órgãos estatais envolvidos com a persecução criminal terão daqui por diante, especialmente quando a defesa levanta questões altamente técnicas.
É claro que nós temos uma vantagem em relação ao sistema processual inglês, pois aqui apenas os crimes dolosos contra a vida é que são julgados por um Júri. Os demais são julgados por um juiz, dotado de formação técnica, mais inclinado a valorizar os aspectos meritórios da questão e menos influenciável por uma simples argumentação inteligente. Nem por isso as autoridades judiciárias brasileiras tenderão a encontrar menos dificuldade quando se tratar de processar crimes praticados no ciberespaço. É que o ônus da prova técnica será sempre um fardo por demais pesado. Com efeito, a prova pericial vai ficar cada vez mais importante nesses casos, mas o ônus de produzi-la permanecerá com a acusação. E sua produção será cada vez mais difícil, pois qualquer resquício de dúvida pode resultar na absolvição dos acusados.
A disciplina do onus probandi está prevista no art. 156 do Código de Processo Penal, que dispõe: "A prova da alegação incumbirá a quem a fizer; mas o juiz poderá, no curso da instrução ou antes de proferir a sentença, determinar, de ofício, diligências para dirimir dúvidas sobre ponto relevante". A primeira parte do dispositivo citado, como se vê, é que trata especificamente da questão do ônus da prova, e a segunda, sobre os poderes instrutórios do Juiz. A doutrina a considera (a primeira parte do art. 156) uma regra insatisfatória, pois dá a entender que todo tipo de prova cabe à acusação. Não é bem assim. Conforme anota Vicente Greco Filho, o Código de Processo Penal em verdade acolhe o critério "de que à acusação cabe a prova do fato constitutivo de sua pretensão ou de seu direito, que são as elementares do tipo e a autoria" . É dizer: ao Estado somente incumbe provar a existência do fato criminoso e a sua autoria, elementos que embasam o jus puniendi. Ao acusado, de sua vez, caberá a demonstração de outros fatos que possam impedir, modificar ou extinguir aquele jus puniendi, como, por exemplo, as causas de exclusão de ilicitude ou culpabilidade. Em suma, o réu tem que provar o fato que, a despeito da existência do fato constitutivo do jus puniendi, "tem, no seu plano material, o condão de impedir, modificar ou extinguir aquela pretensão - que são as excludentes" .
A alegação de "seqüestro" do computador por um "spyware" pode ser aceita como uma negativa de autoria. O réu, nesse caso, alega que não ele, mas uma outra pessoa, foi responsável pelo cometimento do crime. A Promotoria, assim, é quem tem que provar que foi realmente ele que cometeu o crime, isto é, tem que fazer prova da não existência de vírus em seu computador. E essa prova não pode ser relativa, mas tem que ser plena, completa, de maneira a não deixar qualquer dúvida quanto à autoria. Isso em razão do princípio in dubio pro reo, que leva à absolvição no caso de dúvida quanto à procedência da imputação. Basta que o réu suscite dúvida razoável, porque a dúvida milita em seu favor, para se ver livre da condenação. Havendo dúvida quanto à autoria, o Juiz tende a absolvê-lo apoiado no art. 386 do CPP, "por não haver prova suficiente para a condenação" (inc. VI).
Essa realidade processualística bem revela as dificuldades que os órgãos encarregados da persecução criminal terão daqui por diante, sempre que se depararem com defesas baseadas na alegação de existência de vírus e "spywares". Na prática, a Promotoria vai ter que provar, amparada na prova pericial, que o computador não foi infectado, que nenhum vírus apoderou-se dele e que não existe a possibilidade de ter se evaporado após completar a operação.
Parece que essa dificuldade não vai se resolver somente aumentando as estruturas das Promotorias e Delegacias, dotando-lhes de unidades especializadas no combate ao crime informático. O que dizer, por exemplo, da alegação de que o vírus se "evaporou" após completar a operação criminosa. Sempre vai haver dúvida sobre essa possibilidade, mesmo que a perícia diga em contrário. Se isso é tecnicamente possível - de um hacker apoderar-se de um computador alheio sem deixar vestígios -, o juiz sempre vai considerar essa possibilidade e admiti-la para apontar como duvidosa a prova (pericial) produzida pelo MP. Como se vê, algo mais precisa ser feito.
Há quem enxergue que esse tipo de questão tende a obscurecer os limites da responsabilidade penal individual. Michael Geist, professor de Direito na University of Ottawa Law School, no Canadá, prevê que "nós vamos ter que escolher o nível de responsabilidade que uma pessoa tem quando está operando o seu próprio computador" (em reportagem publicada no site da CNN , do dia 28 de outubro). De nossa parte, entendemos que a solução específica para lidar com problemas desse tipo reside em se promover uma alteração dos princípios clássicos de distribuição do onus probandi, no processo penal. Pelo menos em relação a certos tipos de defesa (alegações de fatos), o ônus da prova tem que ser expressamente transferido para o acusado, sob pena de se comprometer irremediavelmente a atividade de persecução criminal. As novas leis que dispuserem sobre crimes informáticos, sobretudo a modalidade de acesso não autorizado a sistema computacional, têm que prever o ônus da prova do réu, sempre que este alegar ter sido vítima de um ataque de vírus "spyware" ou "trojan", ou qualquer outra defesa que represente um ônus de prova técnica exagerado para a acusação.
A tendência de se alterar a distribuição do ônus da prova, em matéria de crimes informáticos, na verdade já vem ocorrendo. Nos EUA, muitos acusados pela prática de disseminação de pornografia infantil estavam sendo beneficiados com a alegação de que o material apreendido continha apenas imagens de adultos com aparência infantil, ou que era resultado de trabalho de computação gráfica, não envolvendo, assim, o abuso efetivo de crianças. O resultado prático foi que, na grande maioria dos casos, as pessoas flagradas na posse de imagens ilícitas (de pornografia infantil) escaparam à condenação ou ao simples indiciamento. Diante desse quadro, os legisladores norte-americanos editaram o "Protec Act" , que previu que a prova de não uso de crianças em material de pedofilia seria considerada uma affirmative defense, isto é, ônus processual do réu ou incriminado (ver, a respeito, artigo anterior de nossa autoria ).
Iniciativa semelhante certamente deverá ser observada em relação às alegações de seqüestro de computador por vírus "spyware", a título de negativa de autoria. Se por um lado deve-se ter a preocupação de não condenar uma pessoa pelo que ela efetivamente não fez, por outro surge a preocupação de que a alegação de vírus seja utilizada para absolver qualquer um, vítima ou não de um hacker. Alguém pode simplesmente alegar que outra pessoa seqüestrou seu computador, cometeu o crime e que, após isso, o programa (vírus) simplesmente se evaporou. Tal possibilidade pode se transformar em uma porta aberta para a impunidade. A preocupação aumenta quando se sabe que esse tipo de defesa tende a se tornar cada vez mais comum, na medida em que a utilização de "spywares", programas que permitem o roubo de senhas e bisbilhotar o computador de outro usuário, torna-se cada vez mais freqüente.
A questão está em debate.
Recife, 17.11.03.