Título: O direito de legítima defesa na internet
Autor: Patricia Peck
Fonte: Valor Econômico, 16/02/2006, Legislação & Tributos, p. E2

"É fundamental o treinamento de equipes e a elaboração de termos e códigos de condutas para evitar a geração de riscos e contingências"

Dentro da nova realidade da sociedade digital, é fundamental repensar alguns princípios jurídicos, bem como também resgatar os valores os quais os mesmos estão atrelados e que motivaram a existência das leis que se encontram em vigor. É preciso interpretar as normas legais dentro de novas situações, que merecem novas respostas. Com a internet passou a ser comum situações de ataques, agressões, vandalismo e até mesmo crimes que ocorrem com pessoas físicas e jurídicas em ambientes totalmente eletrônicos, não presenciais, em que as únicas testemunhas são as máquinas. É inteiramente normal que, em qualquer caso como esses, em que há uma situação de infração ou conflito de direito em âmbito real ou virtual, a vítima queira se proteger. Sendo assim, como fica a questão do exercício do direito de legítima defesa na internet? Até aonde a defesa pode virar infração? Até aonde podemos atacar quem está nos atacando, até mesmo para conseguir saber qual sua identidade e então entrar com uma medida judicial? Pela necessidade de aumentar a segurança da informação, muitas empresas no Brasil já possuem profissionais especializados em combater delitos virtuais, especialmente os cometidos por hackers. Em muitos casos, é formado um time de "resposta a incidente", ou há um time de monitoramento para que se possa pegar o infrator literalmente com a "mão na máquina", quer ele seja de dentro, algum funcionário ou colaborador, ou de fora, que vai desde um cliente que pode estar cometendo auto-fraude, até um parceiro, fornecedor ou terceiro. Para isso, uma série de medidas são tomadas, são compradas tecnologias específicas e muitas vezes também são contratadas empresas que praticam o que se chama "ethical hacking". Mas, para o direito brasileiro, apesar da boa-fé de quem está trabalhando nesta área, pode ocorrer que a pessoa venha a ser considerada criminosa no exercício dessas atividades. A imputação mais comum é a de crime de falsa identidade (artigo 307 do Código Penal ), podendo chegar a um possível "flagrante preparado", crime de dano (artigo 163 do Código Penal) ou crime de interceptação (Lei nº 9.262, de 1996), entre outros. Quando há um incidente, busca-se principalmente atender aos seguintes objetivos: 1) bloquear ou minimizar o ataque ou a vulnerabilidade; 2) descobrir quem é o causador, ou seja, a identidade do infrator; 3) coletar provas que possam ser utilizadas para responsabilização do mesmo; e 4) tomar medidas para normalizar a situação para que ela volte a ser como era no momento anterior ao incidente. Mas se para alcançar esses objetivos, não são aplicadas boas práticas de direito digital e computação forense, o que pode ocorrer é que as provas coletadas sejam consideradas como obtidas por meio ilícito (artigo 213 do Código Civil, artigo 332 do Código de Processo Civil e artigo 386 e outros do Código Processo Penal). Além disso, a empresa pode ser responsabilizada civilmente e o profissional pode ser responsabilizado criminalmente. No entanto, se se tratar de situação de legítima defesa, isso não ocorre. É o que está previsto no artigo 23, inciso II do Código Penal, que reza que "não há crime quando o agente pratica o fato: I - em estado de necessidade; II - em legítima defesa; III - em estrito cumprimento de dever legal ou no exercício regular de direito."

Muitas empresas no Brasil já têm especialistas para combater delitos virtuais, especialmente os cometidos por hackers

Para exemplificar, um analista muitas vezes consegue descobrir a conta de e-mail utilizada pelo fraudador para armazenar os dados obtidos ilegalmente, bem como a senha que dá acesso a essa conta. Em termos jurídicos, a empresa poderia tentar obter de volta os dados que foram pegos pelo fraudador e minimizar os danos? A empresa poderia acessar a conta de e-mail deste terceiro sem infringir a lei? Como validar as provas obtidas desta maneira? A prerrogativa da autodefesa é uma causa de justificação que se baseia no princípio de que o direito não precisa retroceder diante do injusto e ainda que a defesa vale, pois, não só para o bem jurídico ameaçado, mas também, simultaneamente, para a afirmação da ordem jurídica. Sendo assim, o artigo 25 do Código Penal define: "Entende-se em legítima defesa quem, usando moderadamente dos meios necessários, repele injusta agressão, atual e iminente, a direito seu ou de outrem." Assim, verificamos que a defesa da vítima ou a ação de outro que venha a responder ao ataque não será passível de punição se sua atitude se enquadrar em legítima defesa, o que para a internet exige que se defina claramente o que significa "emprego moderado dos meios necessários". Neste sentido aplica-se o brocardo jurídico que afirma "nemo expectare tenetur donec percutietur", que significa que ninguém (para defender-se) está obrigado a esperar até que seja atingido por um golpe. Isso porque nem todo ato de defesa ou de autodefesa é legítimo, ou seja, é autorizado pela ordem jurídica. O direito impõe restrições mais ou menos precisas para que o indivíduo, por seus próprios meios, possa fazer prevalecer, sem o concurso dos órgãos do Estado, seus interesses ou bens diante do agressor. Do contrário, é preciso estar munido de ordem judicial, ou então de poder de polícia, o que muitas vezes não ocorre no dia-a-dia das empresas. A defesa está limitada ao uso restrito dos meios reputados eficazes e suficientes para repelir a agressão. Nem menos, nem mais do que isso. Ou seja, há um princípio de proporcionalidade que exige uma certa moderação. Logo, é fundamental que se verifique, no caso a caso ou em um padrão de cenário específico, quais as medidas mínimas de defesa e em que momento as ações passam a configurar infrações. Haverá casos em que o mero acesso à caixa postal usada pelo hacker para armazenar os dados dos clientes será medida suficiente. Por outro lado, poderá ser encontrada armazenada uma grande quantidade de informações que não podem permanecer em poder do hacker e deverão ser apagadas dos seus sistemas. O cancelamento das contas de e-mail também pode ser considerado como uma medida eficaz e necessária, dentro do direito de legítima defesa. Mas não se pode generalizar as condutas. Se alguém lhe enviar um spam, você não pode responder com um vírus. Concluindo, é fundamental o treinamento das equipes, a elaboração de termos e códigos de conduta, bem como que os contratos com empresas que praticam "ethical hacking" já prevejam situações de limites de ações e de responsabilidades, para que se evite gerar riscos e contingências legais, quando se imaginava que estava se protegendo. Defender-se é uma coisa, atacar é outra.