From behind crop male programmer in black hood browsing netbook and mobile phone while wor

Invasão de dispositivo e conta hackeada: o crime, a prova e os primeiros movimentos

A invasão de celular, computador ou conta digital deixou de ser episódio raro e passou a integrar a rotina de delegacias e tribunais. Quem tem o aparelho violado, as mensagens lidas sem permissão ou o perfil sequestrado precisa agir rápido e com método: a forma como a vítima reage nas primeiras horas determina se o autor será ou não identificado.

O que caracteriza a invasão de dispositivo informático

O ordenamento brasileiro pune a invasão de dispositivo informático alheio no artigo 154-A do Código Penal, incluído pela Lei 12.737/2012 e reforçado pela Lei 14.155/2021. O tipo penal alcança quem invade aparelho de outra pessoa, conectado ou não à internet, com o objetivo de obter, adulterar ou destruir dados, ou de instalar vulnerabilidades para obter vantagem ilícita.

A reforma de 2021 elevou a pena para um a quatro anos de reclusão, além de multa, e previu aumento quando a invasão resulta em divulgação de comunicações privadas, segredos comerciais ou informações sigilosas. O elemento central é a violação do mecanismo de proteção: senha, biometria, padrão de desbloqueio ou qualquer barreira que o titular tenha estabelecido.

Vale a distinção prática. Ler a mensagem de quem deixou o telefone destravado em cima da mesa configura situação jurídica diferente de quebrar uma senha ou usar programa espião. A presença de uma barreira de segurança burlada é o que aproxima a conduta do crime do artigo 154-A e orienta a estratégia da vítima.

Os primeiros passos: preservar antes de reagir

O erro mais comum de quem descobre a invasão é tentar consertar tudo de imediato: trocar a senha, apagar conversas suspeitas, formatar o aparelho. Essas atitudes, compreensíveis no susto do momento, destroem justamente os vestígios que permitiriam identificar o autor. A primeira regra é preservar.

Antes de qualquer alteração, a vítima deve documentar o estado em que encontrou o dispositivo ou a conta. Capturas de tela com data e hora visíveis, fotografias da própria tela por outro aparelho, gravação de vídeo percorrendo as configurações de segurança e a lista de sessões ativas formam um acervo que dificilmente será contestado depois.

Os registros de acesso são o coração da prova digital. Plataformas de e-mail, redes sociais e aplicativos de mensagem mantêm um histórico de logins com data, horário, modelo de aparelho e endereço de IP. Esse painel costuma ficar em menus como “segurança”, “dispositivos conectados” ou “atividade da conta”, e deve ser fotografado integralmente antes de encerrar as sessões estranhas.

Convém ainda anotar tudo o que se sabe sobre o incidente em ordem cronológica: quando percebeu algo errado, que mensagens recebeu, quais cobranças ou movimentações apareceram, se houve pedido de resgate ou ameaça. Esse relato organizado se torna a espinha dorsal do boletim de ocorrência e da futura representação.

Só depois de preservar é que vem a contenção. Trocar senhas, ativar a verificação em duas etapas e desconectar os dispositivos desconhecidos são providências necessárias, mas devem ser tomadas com calma, registrando cada passo, para que a defesa do patrimônio digital não apague o caminho que leva ao invasor.

O registro da ocorrência e a representação criminal

Com as provas preservadas, o passo seguinte é levar o caso à autoridade policial. O boletim de ocorrência pode ser feito em delegacia comum ou, onde existir, em delegacia especializada em crimes cibernéticos. Vários estados disponibilizam registro eletrônico, o que agiliza o início da apuração sem retirar a possibilidade de complementação presencial.

No relato à polícia, a vítima deve apresentar todo o material reunido e indicar de forma objetiva o que aconteceu, evitando suposições sobre quem seria o responsável. O trabalho de apontar o autor cabe à investigação; à vítima cabe fornecer dados confiáveis e completos, que sustentem as diligências seguintes.

É importante observar a natureza da ação penal. A invasão de dispositivo informático, na forma simples, depende de representação do ofendido, ou seja, exige a manifestação expressa de que se deseja a apuração e a responsabilização. Esse interesse precisa ser registrado dentro do prazo legal, contado do conhecimento da autoria, sob pena de decadência do direito de representar.

Quando a invasão vem acompanhada de subtração de valores, transferências fraudulentas ou estelionato praticado por meio eletrônico, o quadro muda. A Lei 14.155/2021 também tratou do furto mediante fraude eletrônica e do estelionato cometido por dispositivos informáticos, com penas mais severas, hipóteses em que a persecução penal segue regras próprias e não fica restrita à representação.

O segurado de uma conta bancária invadida, por exemplo, soma à esfera criminal a discussão sobre a responsabilidade da instituição financeira pelas operações não reconhecidas. São frentes distintas que podem caminhar em paralelo, e a orientação técnica logo no início evita que uma comprometa a outra.

Quem apaga as conversas para “limpar” o aparelho costuma apagar, junto, a única trilha que levaria até o invasor.

Essa é a razão pela qual a recomendação de preservar antes de reagir aparece em todas as etapas. A prova digital é volátil e a janela de tempo para recuperá-la é curta, especialmente diante dos prazos de guarda fixados em lei para os provedores.

A quebra de sigilo para identificar o invasor

Identificar quem está por trás de um acesso indevido raramente é possível só com o que a vítima enxerga na tela. O endereço de IP registrado nos logins é apenas o ponto de partida: ele indica qual conexão foi usada, mas não revela, de imediato, o nome do titular daquele acesso. É aqui que entra a quebra de sigilo.

O Marco Civil da Internet, a Lei 12.965/2014, obriga os provedores a guardar os registros de conexão e de acesso a aplicações por prazos determinados, e condiciona o fornecimento desses dados à ordem judicial. A vítima, por meio de advogado, requer ao juízo que os provedores informem a qual assinante pertencia o IP utilizado na data e no horário do acesso fraudulento.

O pedido precisa ser preciso. Datas, horários com fuso definido, endereços de IP completos e a indicação exata das contas envolvidas tornam a ordem judicial efetiva e evitam respostas genéricas dos provedores. Quanto mais detalhado o material preservado na primeira etapa, mais consistente fica esse requerimento e maior a chance de sucesso.

Há ainda um cuidado com o relógio. Os prazos legais de guarda dos registros são contados em meses, e, uma vez expirados, os dados podem ser descartados de forma legítima pelos provedores. Demorar para procurar orientação é, na prática, correr o risco de que a informação capaz de identificar o autor simplesmente deixe de existir.

Obtido o vínculo entre o IP e um titular, a investigação avança para confirmar a autoria, que nem sempre coincide com o assinante da linha. Perícias, análise de outros vestígios e diligências complementares fecham o cerco, transformando um acesso anônimo em um responsável com nome e endereço.

Responsabilização, reparação e proteção de dados

A identificação do invasor abre caminho para duas consequências. No campo criminal, viabiliza o oferecimento da denúncia e o processo penal. No campo cível, permite o pedido de reparação pelos danos materiais e morais, especialmente quando houve exposição de mensagens íntimas, prejuízo financeiro ou abalo à imagem da vítima.

Quando dados pessoais são tratados de forma indevida em razão da invasão, soma-se a tutela da Lei Geral de Proteção de Dados, a Lei 13.709/2018. Vazamentos, uso não autorizado de informações e falhas de segurança que tenham facilitado o acesso podem gerar deveres de comunicação e de reparação por parte de quem detinha a guarda desses dados.

O caminho mais seguro, do ponto de vista de quem foi vítima, é tratar o incidente de forma integrada desde o início. Preservar a prova, registrar a ocorrência, representar no prazo e requerer a quebra de sigilo são etapas encadeadas, e a orientação jurídica adequada garante que nenhuma delas seja perdida por pressa ou desinformação.

Perguntas Frequentes

Preciso de advogado para registrar o boletim de ocorrência por invasão?

Não. O registro do boletim de ocorrência pode ser feito diretamente pela vítima, inclusive por meio eletrônico em muitos estados. A assistência técnica, porém, faz diferença nas etapas seguintes: a representação dentro do prazo, o pedido de quebra de sigilo e a eventual ação de reparação exigem fundamentação jurídica para serem eficazes. Procurar orientação cedo costuma preservar direitos que se perderiam pela demora.

Devo trocar a senha e formatar o aparelho assim que descobrir a invasão?

A troca de senha e a ativação da verificação em duas etapas são recomendáveis, mas não antes de preservar as provas. Formatar o aparelho ou apagar conversas elimina vestígios essenciais para identificar o autor. A ordem correta é documentar primeiro o estado da conta e os registros de acesso, depois conter o problema, registrando cada providência adotada nesse processo.

É possível descobrir quem invadiu mesmo que o acesso pareça anônimo?

Sim, na maioria dos casos. Os provedores guardam registros de conexão e de acesso por prazos fixados em lei e podem fornecê-los mediante ordem judicial. A partir do endereço de IP e do horário do acesso, é possível chegar ao titular da conexão e, com as diligências de investigação, à autoria. O fator decisivo é a rapidez, já que esses registros têm prazo de guarda limitado.

Base legal citada

Leia o texto integral e atualizado no CM Legis:

Ficou com dúvidas? Fale com um advogado especialista.

📱 Falar pelo WhatsApp

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

Posts Similares