Direito digital: Ex-funcionários respondem pela maioria dos

processos por invasão de sistemas

Cibercrime é praticado por empregado

Jornal Valor Econômico (Legislação 30/11) fls. E1

Laura Ignacio, de São Paulo

30/11/2009

Como num apagão, uma empresa viu sua produção despencar de uma hora para outra. Uma invasão no
sistema fez o software de controle que interliga todas as áreas de produção da empresa, desde o chão
de fábrica até o financeiro, desligar-se. A empresa foi ao Judiciário para identificar os responsáveis e
receber indenização pelos prejuízos. O advogado Renato Opice Blum, do escritório Opice Blum
Advogados, conseguiu mandado de busca e apreensão e estão sendo realizadas as perícias para o
ajuizamento de ação cível e criminal. Já se sabe que o responsável pela invasão foi um ex-funcionário,
como acontece na maioria dos casos, segundo especialistas. Porém, como ainda não há lei contra crimes
cibernéticos, nem decisão judicial final sobre casos deste tipo no Brasil, o advogado usará decisões do
Judiciário de outros países para tentar conseguir responsabilizar o invasor, com direito ao ressarcimento
dos prejuízos que a empresa sofreu.

Em outro caso, um ex-funcionário invadia periodicamente o sistema de logística da empresa onde

trabalhava. "Como hoje em dia empresas terceirizadas cuidam das cópias de informações dos sistemas
das grandes empresas, o chamado backup, pode levar horas para as informações serem restauradas",
explica Opice Blum. "E tempo é dinheiro", diz.

Segundo o advogado, as chances de identificação do invasor são grandes, mas ainda não há decisões no
país que imponham sua responsabilização. Uma das decisões que o advogado usará no processo é da
Justiça americana. Nela, o invasor foi condenado a oito anos de prisão e ao pagamento de US$ 12,3 mil.
Isso porque foi comprovada a invasão, mas não o uso de informações com o objetivo de fraude. Em
outra decisão, a Justiça dos Estados Unidos condenou o estagiário de um escritório de advocacia a dois
anos e seis meses de prisão por ter acessado o computador do chefe, sem autorização. A intenção era
enviar a estratégica jurídica da banca para o escritório que defendia a outra parte no processo.

Blum explica que não há como condenar alguém pela invasão em si porque não existe esse crime em lei
brasileira. Hoje, tramita na Câmara dos Deputados um projeto de lei, já aprovado no Senado, que
institui uma lei contra crimes cibernéticos. Enquanto a lei não é sancionada, são utilizados o Código
Penal e a Lei nº 9.279, de 1996, que regula a propriedade industrial, para condenar o invasor quando,
por exemplo, é divulgada informação confidencial da empresa. "Nesse caso, a pena é de até um ano de
prisão ou multa", afirma Opice Blum. Mas se é provado que a intenção do invasor seria destruir coisa
alheia, a pena seria de detenção de um a seis meses ou multa.

Em mais da metade dos casos, o responsável pela invasão é o ex-funcionário ou o empregado. Essa é a
constatação do perito em crimes cibernéticos, Wanderson Castilho, que atua desde 1999 na área e já
resolveu mais de 400 casos. "Muitas vezes, o funcionário é demitido e alega que foi injustiçado", diz. O
perito afirma que diretores de tecnologia da informação de grandes empresas, quando estão há muito
tempo na companhia e dominam o setor mais do que o presidente da empresa, não aceitam a demissão.
E por vingança, atacam o sistema da empresa. Segundo ele, outros responsáveis pelas invasões são os
hackers que atuam sozinhos ou em equipes de profissionais contratadas por empresas concorrentes,
totalizando 30% dos casos. As demais situações são geradas por vírus.

Um funcionário de um banco, em conluio com uma quadrilha, usou informações do sistema da

instituição financeira onde trabalhava para a falsificação de cartões de crédito. De acordo com o
advogado David Rechulski, do escritório David Rechulski Advogados, que representa o banco na Justiça,
o prejuízo foi superior a R$ 1 milhão. "Na esfera cível, não houve indenização, mas na criminal o então
funcionário deverá ser condenado a quatro anos de prisão por estelionato", afirma. Para Rechulski, o
problema é que, com a legislação atual, em caso de invasão de sistema, é aplicada pena contra crime
de menor potencial ofensivo por prejuízos milionários.

Quando há envolvimento de concorrente, diversos são os casos de espionagem industrial. A contratação

de equipes de hackers para descobrir segredos do concorrente custa em torno de R$ 30 mil, segundo
Castilho. "Mas, na maioria das vezes, não se chega ao concorrente", diz. Em um dos casos dos quais ele
participou, hackers invadiram o sistema de uma empresa e conseguiram captar diversas informações,
entre elas, o preço pelo qual a companhia estava entrando em uma licitação de R$ 12,5 milhões. "Há
fortes indícios de que, de posse da informação, a concorrente participou da licitação e ganhou o cliente
por uma diferença de preço de apenas R$ 150", diz. "O hacker foi identificado, mas não houve provas
suficientes para condenar a concorrente."