Sequestro de dados pela internet (ransomware) configura o crime de extorsão

O sequestro de dados (ramsomware) tem origem remota na década de 90. Atribui-se a Joseph L. Popp a criação de um software capaz de infectar computadores, bloqueando seus arquivos, os quais apenas eram liberados após o pagamento do resgate.

Recentemente, multiplicaram-se as notícias de ciberataques com o uso do ransomware. Hospitais no Reino Unido tiveram seus sistemas invadidos e dados sequestrados, precisando suspender o tratamento de vários pacientes¹. Da mesma forma, prefeituras tiveram seus dados sequestrados, impedindo a prestação de serviços públicos².

Em linhas gerais, o ransomware é um software que promove o sequestro de dados e, após torná-los indisponíveis, exige o pagamento de determinada quantia como resgate. Seu mecanismo de funcionamento consiste em infectar um dispositivo e criptografar seus dados. Em seguida, uma mensagem é entregue ao usuário solicitando o pagamento de determinada quantia para descriptografá-los. A mensagem é acompanhada de uma ameaça de destruição dos arquivos caso o valor não seja pago em determinado prazo.

Em linhas gerais, o ransomware consiste em uma chantagem, em que a criptografia é o instrumento central da ação. Quebrar a criptografia sem a colaboração do autor da conduta criminosa é praticamente impossível.

Apesar da elevada gravidade dessa conduta, não existe um tipo penal específico que criminalize a conduta de sequestro de dados (ransomware) no ordenamento brasileiro. Apesar disso, é possível verificar que essa conduta se amolda ao crime de extorsão (art. 158 do Código Penal).

No delito de extorsão, a conduta típica é constranger alguém, mediante violência ou grave ameaça, a fazer, deixar de fazer ou tolerar alguma coisa, com o fim de obter indevida vantagem econômica.

Constranger é coagir, obrigar. A conduta de constranger pode ser praticada pela violência física ou pela grave ameaça (vis compulsiva). Grave ameaça, nesse contexto, é a promessa de mal capaz de intimidar a vítima³. Para tanto, consideram-se as circunstâncias pessoais da vítima.

Inúmeras são as formas que a ameaça pode se revestir. A ameaça pode consistir em: promessa de dano à integridade física, ainda que em "falso sequestro"; futura violação à honra ou reputação; divulgação de segredo de fatos escandalosos ou difamatórios; acarretar prejuízo econômico à vítima⁴. Recentemente, o STJ decidiu que constitui o crime de extorsão inclusive a ameaça de causar mal espiritual na vítima, desde que a ameaça seja idônea a aterrorizar a vítima⁵.

Nesse contexto, não há dúvidas de que, no sequestro de dados, a ameaça de destruição dos arquivos ou de restrição do seu acesso é suficiente para a configuração do delito de extorsão.

O crime de extorsão exige, ademais, que o constrangimento, por meio da violência ou grave ameaça, seja realizado com um tríplice objetivo de que alguém faça, deixe de fazer ou tolere alguma coisa. No sequestro de dados (ransomware), o agente constrange a vítima a fazer algo, consistente no pagamento de determinada quantia, normalmente em criptomoedas.

Por fim, a finalidade do agente na extorsão é obter vantagem econômica indevida. No caso do sequestro de dados (ransomware), a intenção de obter vantagem econômica indevida é inerente à ação desde sua origem remota até os dias atuais.

Dessa forma, embora inexista norma penal específica incriminando a conduta de sequestro de dados pela internet (ransomware), essa conduta se amolda ao crime de extorsão (art. 158 do Código Penal).

___________

1. SANTOS, Daniel Leonhardt Dos. Novos espaços de proteção do direito penal no mundo tecnológico: a definição e caracterização dos crimes de informática. Revista Brasileira de Ciências Criminais, [s. l.], v. 173, p. 61-101, 2020.