top of page
1e9c13_a8a182fe303c43e98ca5270110ea0ff0_mv2.gif

Coluna Alerta Digital - 06/06/2024


A competência territorial nas fraudes bancárias eletrônicas


O Código de Processo Penal (CPP) brasileiro possui regras para definir onde um determinado caso deverá ser processado e julgado, denominada competência jurisdicional. As regras de competência são fundamentais para a organização e o funcionamento adequado do sistema de justiça penal, pois buscam garantir que os processos sejam julgados de maneira justa, eficiente, evitando-se juízos de exceção, garantindo a imparcialidade e a legalidade em sua condução, além de assegurar os direitos das partes envolvidas e promover a confiança da sociedade no sistema judiciário.

As regras de competência ajudam a evitar conflitos de jurisdição entre diferentes tribunais, estabelecendo claramente qual deles tem autoridade para julgar determinado caso, o que promove uma distribuição ordenada e previsível dos casos entre os diversos tribunais. Ao estabelecer critérios claros de competência, proporciona-se segurança jurídica e permite-se que as partes saibam antecipadamente quais tribunais serão responsáveis pelo julgamento de suas causas, o que contribui para a transparência e previsibilidade do sistema judiciário.

Nesse sentido, o art. 69, do CPP, dispõe que a competência jurisdicional será determinada pelo lugar de infração, pelo domicílio ou residência do réu, pela natureza da infração, pela distribuição, pela conexão ou continência, pela prevenção ou pela prerrogativa de função. Veja-se que aqui se trata de definir a atuação da justiça, para o processo e julgamento, mas não necessariamente cuida da fase de investigação criminal, em geral iniciada por meio de inquérito policial.

A competência territorial, por exemplo, é estabelecida para que o processo ocorra em um local onde seja mais fácil reunir provas, ouvir testemunhas e garantir a presença dos envolvidos, otimizando os recursos do sistema judiciário. O art. 70 do CPP, afirma que a regra geral é que a competência seja determinada pelo lugar em que se consumar a infração, ou onde for praticado o último ato de execução, se o crime não chegou a se consumar, restando a tentativa punível.

E no caso de crimes transnacionais? Como devemos saber, crimes cibernéticos frequentemente atravessam fronteiras estaduais e nacionais, complicando a aplicação das regras tradicionais de competência territorial. A falta de uma jurisdição clara pode dificultar a cooperação internacional e a aplicação eficaz da lei. Assim, se a execução tem início no Brasil, mas se consuma fora daqui, a competência será do último local de execução. Todavia, se o último local de execução ocorrer fora de nosso território, o juiz competente é o do lugar em que o crime, ainda que parcialmente, tenha produzido ou deveria ter produzido o resultado.

Consideremos o seguinte exemplo ilustrativo. Um hacker brasileiro, residente em São Paulo, inicia um ataque cibernético contra uma empresa americana, por meio de técnicas de phishing para obter credenciais de acesso de um funcionário da referida vítima. Com as credenciais, acessa servidores localizados nos Estados Unidos e transfere informações confidenciais para um servidor na Rússia. A empresa americana detecta o vazamento de informações e sofre prejuízos financeiros e reputacionais.

Na hipótese fática, a execução do crime começou em São Paulo, Brasil, onde o hacker realizou a ação inicial de phishing. Todavia, a consumação do crime ocorreu fora do Brasil, quando as informações confidenciais foram transferidas para um servidor na Rússia, e o prejuízo efetivo ocorreu nos Estados Unidos. Segundo o artigo 71 do Código de Processo Penal (CPP), a competência seria do último local de execução.

Como a última ação executada pelo hacker ocorreu na Rússia, com a transferência das informações, a regra adicional do CPP é aplicada: “o juiz competente é o do lugar em que o crime, ainda que parcialmente, tenha produzido ou deveria ter produzido o resultado”. O resultado do crime (o prejuízo financeiro e reputacional) foi sofrido pela empresa americana nos Estados Unidos. No entanto, a execução inicial e parcial do crime ocorreu no Brasil (São Paulo), onde o hacker iniciou o phishing e acessou as credenciais.

De acordo com o CPP, como a execução teve início no Brasil e produziu um efeito direto (a obtenção de credenciais) em São Paulo, a competência para processar e julgar o hacker brasileiro será do juiz em São Paulo, onde a ação criminosa começou e parte do resultado foi produzido.

Voltemos aos crimes domésticos. Os casos que envolvem fraude bancária eletrônica com vítima individualizada, dentro do território pátrio, devem ser julgados pelo local da agência bancária onde o bem foi subtraído da vítima, nos termos do art. 70, caput, do CPP, segundo a jurisprudência do Superior Tribunal de Justiça (RHC n. 84.622/PR, relator Ministro Ribeiro Dantas, Quinta Turma, julgado em 17/8/2017, DJe de 28/8/2017; CC n. 145.576/MA, relator Ministro Joel Ilan Paciornik, Terceira Seção, julgado em 13/4/2016, DJe de 20/4/2016.)

Apesar de esta solução dificultar a investigação criminal cibernética quando o criminoso está em local distinto, digamos a vítima no Oiapoque (AP) e o investigado no Chuí (RS), uma vez que todos os atos de investigação necessitarão de ser realizados por precatória, a questão pode se tornar uma pouco mais complexa.

Considere a situação de que as fraudes bancárias eletrônicas ocorrerem com pluralidade de jurisdições e de vítimas, em especial quando não há certeza quanto aos limites territoriais de duas ou mais dessas jurisdições ou quando o crime é praticado de forma simultânea em dois ou mais locais. O artigo 71 do CPP prevê que, “se, iniciada a execução num território, a infração se consumar noutro, ou, ainda, se cometida em vários lugares, a competência regular-se-á pelo lugar em que tiver ocorrido o último ato de execução”. No contexto de crimes cibernéticos, a execução pode ser vista como a ação praticada pelo autor (neste caso, no Distrito Federal).

Quando os crimes são cometidos contra várias vítimas em diferentes jurisdições, seria possível considerar o local onde houve maior número de vítimas ou onde o maior prejuízo foi causado. Outra possibilidade é a competência poder ser determinada pelo local onde se localiza o autor do crime, especialmente em crimes de caráter cibernético onde a ação é centralizada.

Todavia, pela regra do art. 70, §3º, do CPP, neste cenário, a competência deixa de ser o lugar da infração e passa a ser definida pela prevenção, ou seja, o juízo que primeiro praticou ato jurisdicional fica responsável por todos os demais casos. Se o local onde o investigado tem domicílio ou réu for o juízo prevento, a investigação terá bom seguimento, todavia se cair em local distinto, a dificuldade poderá ser ainda maior, posto que poderá ocorrer de não se ter proximidade com a maior parte das vítimas ou com o suspeito.

Podemos complicar um pouco mais a questão, se pensarmos que um crime cibernético pode ser cometido por meio de ataques distribuídos de negação de serviço ou com uso de botnets (redes zumbis), com participação de múltiplos computadores em diferentes localidades, de modo a torna ainda mais complexa a determinação da competência territorial.

Para evitar conflitos de competência e facilitar a condução do processo, o mais adequado, conforme a interpretação das regras do CPP e a prática em crimes cibernéticos, seria estabelecer, como regra geral, a competência territorial onde o autor do crime praticou os atos de execução, desconsiderando-se o local onde está localizada a agência bancária da vítima, até mesmo porque, cada vez mais, as agências bancárias são também elas virtuais, bancos digitais, o que implica reconhecer que podem estar virtualmente localizadas em qualquer lugar ou até mesmo em múltiplos locais, se pensarmos em termos de nuvem computacional.

Apesar das regras de competência jurisdicional terem sido concebidas nas décadas de 1930, com efeito a partir da década de 1940, em um contexto jurídico que não previa a complexidade e a ubiquidade da criminalidade cibernética, nota-se que, com alguns ajustes, ainda são aplicáveis a nossa realidade cibernética contemporânea. Todavia, indubitável considerar alguns dos desafios específicos e considerações adicionais que a criminalidade cibernética apresenta, a fim de que se coloque como prioritário o objetivo de reunião de evidências e provas, com vistas à efetiva proteção das pessoas e do patrimônio, em especial na fase de investigação criminal.



Comments


bottom of page