De ponderar o discutido acórdão da 5ª Secção do Supremo Tribunal de Justiça de 3 de Abril do ano passado [proferido no processo n.º 1829/19.1PAPTM.E1.S1, relator Jorge Jacob, tirado com um voto de vencido, texto integral aqui] que a primeira página do site do mesmo apresenta como sendo das «últimas decisões», respeitante à criminalização do uso do MBWAY, cujo extenso sumário se transcreve.
«I – O legislador nacional, servindo-se da ampla margem discricionária facultada pela Directiva (UE) 2019/713, do Parlamento Europeu e do Conselho, de 17 de Abril de 2019, reordenou a inserção sistemática dos tipos legais antes previstos na Lei do Cibercrime, concentrando nesta a previsão e repressão das condutas que se prendem essencialmente com a utilização abusiva ou fraudulenta de meios informáticos no domínio da nova criminalidade digital, relegando para o Código Penal a previsão e punição de condutas que antes se encontravam previstas na Lei nº 109/2009, de 19 de setembro, mas que se ofereciam como mais próximas de modelos de criminalidade clássica visando em primeira linha a obtenção de benefícios patrimoniais, ainda que por recurso à utilização abusiva de meios digitais ou informáticos.
«II – Os cartões de garantia ou de pagamento são dispositivos corpóreos para as finalidades visadas no art. 225º do Código Penal. São dispositivos incorpóreos aqueles que não estando incorporados num suporte material, permitam o acesso a sistema ou a meio de pagamento, como sucede com o MBWay.
«III – O MBWay, sendo um dispositivo incorpóreo, é também uma aplicação que constitui só por si um programa informático, como se deduz da definição de dados informáticos constante do art. 2º, al. b), da Lei do Cibercrime, uma vez que traduz uma representação de informações apta a fazer um sistema informático executar uma função.
«IV – A correcta estruturação dessa aplicação (desse programa) pressupõe a sua associação, ao ser descarregado, ao telemóvel do titular da conta bancária que através dele poderá ser movimentada.
«V – Ao induzir os ofendidos a estruturarem o sistema MBWay associando-o ao número de telemóvel dele, arguido, e não ao do próprio titular da conta bancária, o arguido assumiu-se como autor mediato (autores imediatos foram os próprios ofendidos, sem o saberem) de uma estruturação incorrecta de programa informático, usando em momento ulterior o código de acesso ao MBWay para efectuar levantamento ou ordenar transferências não autorizadas.
«VI – A utilização do código de acesso ao MBWay não se traduz numa utilização de dados informáticos, pois aquele código não integra esta categoria.
«VII – A utilização ilícita ou abusiva deste dispositivo incorpóreo está actualmente incluída no âmbito da previsão do art. 225º do Código Penal, por expressa intenção do legislador, consignada, aliás, na exposição de motivos da Lei nº 79/2021, na parte em que se refere que «Neste contexto, (…) , propõe-se alterar o n.º 1 do artigo 225.º do mesmo Código, de modo a que nele se concentre a punição das condutas previstas na alínea a) do artigo 3.º da Diretiva (UE) 2019/713, mantendo-se a moldura penal do tipo que, presentemente, e de acordo com o entendimento jurisprudencial maioritário, garante a sua punição: a burla informática».
«VIII – Preenchendo cada uma das condutas do arguido, simultaneamente, a tipicidade de um crime de burla informática p. p. pelo art. 221º do Código Penal (agindo com o intuito de obter para si ou para terceiros enriquecimento ilegítimo, o arguido, ou alguém com ele conluiado, conduziu os lesados a uma incorrecta estruturação do MBWay e utilizou o código de acesso para aceder sem autorização à conta bancária de cada um dos ofendidos, efectuando transferências e levantamentos dessas contas, assim causando prejuízo patrimonial aos ofendidos) e de um crime de abuso de dispositivo previstos no art. 225º, nº 1 (agindo com o intuito de obter para si ou para terceiros enriquecimento ilegítimo, o arguido, ou alguém com ele conluiado, utilizou dispositivo incorpóreo que permite o acesso a meio de pagamento, acedendo às contas bancárias dos ofendidos e efectuando transferências e levantamentos dessas contas, assim lhes causando prejuízo patrimonial), verificando-se que o bem jurídico violado no preenchimento de cada um dos tipos legais é essencialmente o mesmo (o património dos ofendidos) e que o sentido de cada uma das actividades desenvolvidas pelo arguido e autonomizadas para efeitos de preenchimento das normas em causa se vem a saldar numa acção de carácter unitário, não é possível encontrar na conduta do arguido mais do que «uma predominante e fundamental unidade de sentido dos concretos ilícitos-típicos praticados», segundo as palavras de Figueiredo Dias, traduzindo uma única resolução criminosa para cada uma das condutas adoptadas, sendo o concurso de crimes meramente aparente, devendo assim o arguido ser punido exclusivamente por um dos tipos legais em confronto, sob pena de violação do princípio ne bis in idem constitucionalmente consagrado».
+
Interessante o extenso e fundamento voto de vencido da 2ª adjunta Ana Paramés, cujo teor se transcreve na íntegra:
«Ora, salvo o devido respeito, não concordamos com a fundamentação nem com a decisão do acórdão proferido e que, ora, se vota vencido.
No caso concreto, entendemos que os factos provados integram a prática pelo arguido, em autoria material, na forma consumada e em concurso real, de 11 (onze) crime de falsidade informática, p. e p. pelos artigos 2.º, alínea b) e 3.º, n.ºs 1 e 2, da Lei n.º 109/2009 de 15-09 e de 11 (onze) crimes de burla informática, previsto e punido, pelo artigo 221.º, n.º 1, do Código Penal sendo um deles, agravado, previsto e punido, pelo artigo p. e p. pelo art. 221.º n.sº1 e 5 alínea a), do C. Penal, com referência ao art. 202.º, alínea a) do mesmo diploma legal, conforme foi decidido na 1ª instância.
Na verdade, face à matéria de facto provada, e contrariamente ao que se afirma no acórdão do STJ supra referido, entendemos que ao ser introduzido um número de telemóvel que não corresponde ao titular do cartão e inserida uma palavra-passe que não foi escolhida pelo titular do cartão, mas pelo arguido, actuando sobre a sua vontade e convencendo-o que o seu procedimento o faria receber dinheiro na sua conta e não o contrário, está a ser produzido, através de uma manipulação informática um documento de autenticação eletrónica/digital falso.
O que preenche o tipo legal do crime de falsidade informática, p. e p. pelo art.º 3.°, n.° 1 e 2, da Lei do Cibercrime.
E a tal não obsta o facto de quem inseriu os dados ter sido o próprio titular do cartão.
Trata-se de um caso de autoria mediata (cf. art.º 26.° do Código Penal), na medida em que o agente determina outrem a praticar os actos de execução necessários à consumação do mesmo, sem nunca perder o domínio do facto, para o que necessitava que outra pessoa, no caso o próprio titular do cartão.
Com a descrita conduta criou um documento falso – autenticação da aplicação MB WAY na SIBS, inserindo dados no sistema informático – número de telefone e PIN – (elemento objectivo do tipo), associando-a a um determinado cartão de débito (através da introdução/utilização do PIN do cartão), que não lhe pertencia, mas que, a partir deste acto, passa a ser reconhecido pelo sistema informático como se lhe pertencesse – com o que cria uma “assinatura digital” falsa.
Esta conduta do arguido que integra o tipo de falsidade informática, prevista e punida, no artigo 3º, nº 2, da Lei nº 109/2009 de 15/09 (Lei do Cibercrime), na versão anterior não foi incluída no crime Abuso de cartão de garantia ou de cartão, dispositivo ou dados de pagamento do art. 225º do Código Penal, como se defende no acórdão do STJ, passando, antes, em nosso entender, a estar prevista no artigo 3º A da Lei nº 109/2009 de 15/09 na versão que lhe foi dada pela Lei nº 79/2021 de 24/11 que sob a epígrafe «Contrafação de cartões ou outros dispositivos de pagamento”, passou a punir tal conduta com uma moldura penal mais grave.
Na verdade, o crime de Abuso de cartão de garantia ou de cartão, dispositivo ou dados de pagamento do art. 225º do Código Penal, prevê a punição do abuso de cartões de pagamento autênticos. Será, designadamente, o caso de um cartão verdadeiro utilizado de forma ilegítima pelo agente do crime, por exemplo, presencialmente num estabelecimento comercial e será, também, o caso da utilização abusiva e não autorizada dos dados do cartão, por exemplo, em compras na Internet.
O crime de abuso de cartão do art. 225º do Código Penal pode, assim, ocorrer de duas formas: Física: quando o agente se apropria retém ou usa sem autorização um cartão de terceiro para fazer compras ou levantar dinheiro ou de forma digital quando o agente obtém os dados do cartão (número, validade e CVC) e os usa para compras online ou em fraudes bancárias.
Deste modo, o “abuso” de cartão ou outros meios de pagamento é sempre, por regra, um mero uso de algo autêntico, mas não autorizado, ou ilegítimo, isto é, pressupõe sempre o uso abusivo de um cartão de pagamento ou de dados de pagamento alheios sem autorização do titular (sublinhado nosso).
Já no caso concreto em apreciação, nos presentes autos, a actuação ilegítima do arguido pressupôs uma manipulação (falsificação) informática que é punida nos termos da Lei do Cibercrime.
Na verdade, o agente que acede a um site de classificados (como OLX ou Facebook Marketplace) e engana uma vítima, dizendo que quer comprar um produto e para o pagamento, convence a vítima a inserir o número de telefone no MB WAY e a autorizar uma transação através de um código que fornece está, através da vitima, a manipular digitalmente os dados do sistema bancário, fazendo com que a transação não seja um simples pagamento, mas sim uma transferência de dinheiro da conta da vítima para a sua conta.
O arguido manipula dados informáticos do sistema MB WAY para obter uma vantagem indevida.
Deste modo, a conduta do arguido na medida que «cria» um documento falso, isto é, autenticação da aplicação MBWAY na SIBS, inserindo dados no sistema informático – número de telefone e PIN- que não lhe pertencia, mas que, a partir deste acto, passa a ser reconhecido como se lhe pertencesse – com o que cria uma “assinatura digital” não está abrangida no tipo do art. 225º do Código Penal, como se afirma no acórdão, integrando, em nosso entender, actualmente, a previsão do artigo 3º A da Lei nº 109/2009 de 15/09 na versão que lhe foi dada pela Lei nº 79/2021, de 24/11 que sob a epígrafe «Contrafação de cartões ou outros dispositivos de pagamento”, passou a punir tal conduta com uma moldura penal mais grave.
Por sua vez, no que respeita aos crimes de burla informática, p. e p. pelo art.º 221.º, do Código Penal, de que o arguido foi condenado em 1º instância, tais crimes verificaram-se mediante a introdução de dados incorrectos/falsos no sistema informático da aplicação MB WAY por um autor mediato que para tanto convence a vítima, correspondendo, pois, ao cometimento pelo agente mediato do crime de falsidade informática, p. e p. pelo art.º 3.º, n.º 1 e 2, da Lei do Cibercrime.
Conclui-se, assim, que sendo o crime de burla informática realizado mediante a introdução de dados falsos na aplicação MB WAY verifica-se, o cometimento pelo agente mediato do crime de falsidade informática, existindo concurso efectivo entre este crime e o crime de burla informática (cada um deles defendendo bens jurídicos de diversa natureza ), na linha, aliás, da argumentação expendida pelo acórdão de fixação de jurisprudência emanado pelo STJ.
O crime de burla informática, visa essencialmente, proteger o património.
O crime de falsidade informática, visa a protecção, não do património, mas da integridade dos sistemas de informação, através do qual se pretende impedir os actos praticados contra a confidencialidade, integridade e disponibilidade de sistemas informáticos, de redes e dados informáticos, bem como a utilização fraudulenta desses sistemas de redes e dados.
É certo que a falsificação pode constituir o meio, o artifício fraudulento, que está no cerne da burla.
Mas também o é que, na comparação dos dois tipos, existe uma bipolaridade de bens jurídicos protegidos, o que aliás se revela na sua diferente natureza (pública no caso da falsidade informática e semi-pública no caso da burla informática simples p. e p. pelo artº 221º, nºs 1, 2, 3 e 4, do CP), reflectindo tal diversidade.
À pluralidade de tipos legais integrados deve, pois, corresponder uma pluralidade de crimes- no sentido por nós perfilhado veja- se, entre outros o Ac. da Rel. Coimbra de 24/05/2023, em que foi relator o Sr.º Des. Paulo Guerra e o acórdão do Tribunal da Relação de Évora de 25/5/2021, Pº 82/20.9PACTX-A.E1, no qual decidiu que «Se a burla informática que se realizou mediante a introdução de dados falsos na aplicação MB WAY corresponde igualmente ao cometimento pelo agente mediato do crime de falsidade informática, existe concurso efetivo entre aquela burla e esta falsidade informática», ambos disponível em www.dgs e ainda o acórdão do TRL de23 de Outubro 2024, em que fui relatora proferido no Proc.º n.º 1298/19.6SELSB.L1 e, igualmente, sobre esta questão, publicação do Gabinete do cibercrime in https://cibercrime.ministeriopublico.pt/sites/default/files/documentos/pdf/alerta_mbway_2020_04_07.pdf)
O crime de falsidade informática fica consumado com a validação da aplicação – através do método usado –, encontrando-se em concurso efectivo com o crime de burla informática, o qual consome o crime de acesso ilegítimo, crime residual, havendo, nesta parte, um concurso aparente.
Sobre o crime de Artigo 225.º«Abuso de cartão de garantia ou de cartão, dispositivo ou dados de pagamento» enquanto tipo “legal aberto” (uma vez que prescinde de um qualquer elemento qualificador dos modos de acesso ao meio ou sistema de pagamento e consequente deslocação patrimonial) e de que a relação entre este tipo de crime e os restantes tipos legais que orbitam na “fraude informática” deve ser a que se estabelece entre tipos legais especiais e o tipo legal geral ou fundamental -cfr. Comentário Conimbricense do Código Penal – Tomo II | Vol. I pag. 492-.
Acresce que, não vemos razão, nem pensamos ter sido a intenção do legislador, passar a integrar num só tipo legal, isto é, o do artigo 225º do C.P, punível com uma pena mais leve, de prisão até três anos ou multa e atribuindo natureza semi-público ao crime, na sua forma simples, a conduta que anteriormente, à alteração introduzida pela Lei nº 79/2021 de 24/11, punia como crime de falsidade informática, p. e p. pelos artigos 2.º, alínea b) e 3.º, n.ºs 1 e 2, da Lei n.º 109/2009, de 15-09, com pena de prisão até 5 anos ou multa de 120 a 600 dias (tratando-se de crime de natureza público), em concurso efectivo, com um crime de burla informática, previsto e punido, pelo artigo 221.º, n.º 1, do Código Penal, a que corresponde a moldura penal de prisão até 3 anos ou pena de multa.
Numa sociedade em que a evolução tecnológica e o aparecimento de novos tipos de crimes obrigaram a mudanças legislativas- em 2021, a lei inicial sofreu alterações que resultam da Diretiva (UE) 2019/713 do Parlamento Europeu e do Conselho (relativa ao combate à fraude e à contrafação de meios de pagamento, não numerário) e que deu origem à Lei n.º 79/2021- a ideia do legislador foi, quanto a nós, claramente, a de um combate mais eficaz e moluras penais mais graves para este tipo de criminalidade e não uma atenuação da punibilidade para crimes desta natureza.
Por todo o exposto, julgava improcedente o recurso interposto e confirmava o acórdão da 1ª instância, que, aplicando a lei em vigor à data da prática dos factos, que se mostra mais favorável, nos termos expostos, condenou o arguido pela prática em autoria material e concurso efectivo de 11 (onze) crimes de falsidade informática, p.p. pelos artigos 2.º, alínea b) e 3.º, n.ºs 1 e 2, da Lei n.º 109/2009, de 15-09, e de 11 (onze) crimes de burla informática, previsto e punido, pelo artigo 221.º, n.º 1, do Código Penal, sendo um deles, agravado, previsto e punido, pelo artigo p. e p. pelo art. 221.º n.sº1 e 5 alínea a) do C. Penal, com referência ao art. 202.º, alínea a) do C. Penal, mantendo nos seus precisos termos as condenação do arguido, em cúmulo jurídico, na pena única de 6 (seis) anos e 6 (seis) meses de prisão».
