O assunto não poderia ser mais atual, sendo que as diversas mídias tem dedicado espaço para este tipo de criminalidade, como, por exemplo, “prática de ransomware se populariza” e “hackers invadem computadores e sequestro de dados de celulares”.

Ransomware é neologismo advindo da conjugação das palavras “ransom” (é o valor pago/resgate na extorsão mediante sequestro) + “malware” (malicious + software = vírus computacional). Trata-se, pois, de uma prática que envolve o uso de um malware que restringe o acesso ao sistema informático seguido da exigência de um valor a título de “resgate” para que se permita o restabelecimento do acesso.

Apesar dos recentes destaques nas mídias, a primeira aparição de um ransomware data de 1989[1]. Naquele ano um vírus conhecido como AIDS (bem como AIDS info disk e PC Cyborg trojan) contava o número de vezes que um computador era iniciado (boot) de modo que, ao chegar na nonagésima vez, ele criptografava arquivos e os escondia na unidade C: do computador. Em seguida, solicitava a “renovação da licença”, o que deveria ser feito mediante contato com a PC Cyborg Corporation para o pagamento de US$ 189,00.

Apesar disso e de haver alguns registros da prática na Rússia nos anos de 2005 e 2006, aparentemente se popularizou alguns anos mais tarde, ocasião em que foi notado fora da Rússia, como se vê nos reportes de agosto e novembro de 2012 feitos pelo Federal Bureau of Investigation e, ainda, aparições na mídia especializada.

 

 

Quanto à tipificação, a legislação pátria incrimina algumas condutas relacionadas à difusão de vírus computacionais, como é o caso do art. 154-A do Código Penal, precisamente no seu § 1º, nos termos abaixo:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

Resta claro, portanto, que o § 1º incrimina a conduta daqueles que produzem, oferecem, distribuem, vendem a terceiros, ou simplesmente difundem aleatoriamente dispositivos ou programas de computador que possam ser utilizados por terceiros para invadirem dispositivos informáticos ou neles instalar vulnerabilidades.

Mas de que adiantaria apenas a difusão de vírus que bloqueasse o acesso a bancos de dados pura e simplesmente? Apesar desta possibilidade, o que se vê com grande frequência é a exigência de valores (pode ser até mesmo em Bitcoin ou outras criptomoedas), o que tornaria o crime mais complexo, precisamente transformando-o em extorsão, nos termos do art. 158 como se vê no texto abaixo.

Extorsão

Art. 158 – Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa:

Pena – reclusão, de quatro a dez anos, e multa.

Note-se que apesar de muitos utilizarem a expressão “sequestro de dados”, não se aplica o crime de extorsão mediante sequestro previsto no art. 159 do Código Penal porque lá o objeto do sequestro só pode ser pessoa:

Extorsão mediante seqüestro

Art. 159 – Seqüestrar pessoa com o fim de obter, para si ou para outrem, qualquer vantagem, como condição ou preço do resgate:

Pena – reclusão, de oito a quinze anos.

A prática do ransonware é, portanto, configurada como crime de extorsão, ainda que o resgate/valor não seja pago, já que se trata de crime formal (independe de resultado, o que se nota pela redação típica). Entendemos que no caso da difusão do vírus para propiciar o bloqueio dos dados, a tipificação do § 1º do art. 154-A do Código Penal restaria absorvida pela consunção.

Um grande problema que pode ser crucial para a apuração do crime é a sua prática mediante extraterritorialidade, já que a lei brasileira somente será aplicada no exterior em casos excepcionais. Então um crime grave como o ransomware pode ficar impune a depender do modus operandi do criminoso. Lamentável, mas, como dissemos em outras ocasiões, somente com tratados internacionais isto será evitado.