O hacker ético e a tipicidade conglobante

Inicia-se este artigo de forma diferente, com a melhor definição da ciberdelinquência, assim definida por Javier de Luca e Mariana Daniel (2016, tradução nossa):

Atualmente, fala-se em cibercrime ou cibercriminalidade, em que os novos vilões circulam livremente pelas infraestruturas da Internet para acessar um mercado com grande número de usuários e suas economias. Dentro do enorme leque de ações, as presas mais cobiçadas são os sistemas de pagamento pela rede. A esses novos atores não é necessário cruzar as fronteiras físicas para cometer delitos clássicos ou novos. Milhões de pessoas são vítimas, em todo o mundo, de algum delito informático. As estimativas do dinheiro movimentado nessas operações concluem que ele é enorme, similar ou maior ao dos clássicos delitos internacionais.

Desse modo, a consolidação da tecnologia e da economia digital trouxe consigo uma profissão que opera, por definição, na fronteira do lícito: a do profissional de segurança da informação que, para proteger sistemas, precisa primeiro atacá-los. As atividades de vulnerability assessment (análise de vulnerabilidades) e de penetration test (teste de intrusão) consistem, justamente, em simular a ação de um agressor real para revelar falhas e permitir sua correção. A descrição material dessas condutas — acessar, contornar mecanismos de defesa, explorar falhas, obter dados — coincide, ponto a ponto, com o núcleo dos tipos penais de intrusíssimo informático (Reale, 2022, p. 47-82).

O ordenamento brasileiro tipificou a conduta essa intrusão no art. 154-A do Código Penal, introduzido pela Lei n. 12.737/2012[1] e substancialmente alterado pela Lei 14.155/2021. O ordenamento argentino fizera o mesmo, anos antes, com o art. 153 bis, incorporado pela Lei 26.388/2008[2]. Em ambos os sistemas, coloca-se a mesma pergunta: como o Direito Penal deve tratar quem realiza materialmente a conduta descrita no tipo, mas o faz para proteger bem jurídico?

A resposta intuitiva costuma situar o problema no terreno das causas de justificação: o hacker ético agiria amparado por consentimento do ofendido ou por exercício regular de direito. Este artigo sustenta tese diversa. A conduta do white hat autorizado não é típica e justificada; ela é, desde o início, atípica.

A conduta analisada: do white hat ao penetration test

A comunidade de segurança da informação convencionou designar por white hat o profissional ou entusiasta que realiza testes de intrusão de maneira ética, lícita e autorizada, com o fim de descobrir vulnerabilidades e recomendar correções; e por black hat o cibercriminoso que age em proveito próprio, com malícia e sem autorização.[3] Entre os dois extremos há, como adverte Riquert (2021), uma tipologia mais rica — que inclui os blue hacks, os script-kiddies, os hacktivistas e os hackers de elite —, mas o eixo normativo relevante segue sendo a presença ou a ausência de autorização e de intenção lesiva.

Tecnicamente, o penetration test desenvolve-se em etapas sucessivas: busca de informação, análise de vulnerabilidades (vulnerability assessment), exploração, elevação de privilégios, pós-exploração, persistência e limpeza de rastros (Reale, 2021, p. 54-58)[4]. Já na fase de análise de vulnerabilidades, e sobretudo na de exploração, a conduta pode realizar o verbo núcleo dos tipos de intrusismo: acessar ou invadir um sistema de acesso restrito.

O dado decisivo, do ponto de vista da infração da conduta, não é a técnica empregada, mas o marco em que ela se insere: se há instrumentação jurídica adequada (contrato de serviço ou programa de bug bounty), a conduta permanece no campo da cibersegurança; se inexiste autorização ou se há excesso, ingressa-se na zona cinzenta que interessa a este estudo.

A comparação entre as duas legislações

Em sua redação vigente, o art. 154-A descreve a seguinte conduta “invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita”.

Dois aspectos merecem destaque para a presente análise. O primeiro é que a Lei 14.155/2021 suprimiu a elementar “mediante violação indevida de mecanismo de segurança”, ampliando o alcance do tipo. O segundo, eis aqui o busílis da questão, é que o legislador manteve, e até destacou, um especial fim de agir: a invasão só é típica quando dirigida a “obter, adulterar ou destruir dados” ou a “instalar vulnerabilidades para obter vantagem ilícita”. É o que Sydow (2024, p. 363) afirma: enquanto a maior parte dos países criou um tipo de intrusão informática, muito mais técnico e abrangente, o legislador brasileiro preferiu tipificar a invasão informática, mais específica e com aplicabilidade reduzida.

Cuida-se, portanto, de tipo doloso que reclama um elemento subjetivo especial (elemento subjetivo do injusto distinto do dolo). A Convenção de Budapeste[5], por sua vez, a qual, faz-se mister destacar, foi aprovada pelo Decreto Legislativo 37/2021, ressalta a importância da autorização e se refere a condutas assemelhadas utilizando-se da expressão “acesso doloso não autorizado”, empregando, em toda a sua extensão, a expressão “não autorizado” (Brasil, 1940).

Não basta a invasão dolosa, pois é preciso que ela se ordene a uma das finalidades legais e, quanto à instalação de vulnerabilidades, a uma vantagem ilícita. A locução “sem autorização expressa ou tácita do usuário”, por sua vez, integra a descrição típica como elemento normativo, de modo que a ausência de autorização pertence ao próprio tipo, e não a um eventual permissivo externo. Portanto, conceitua Grégore Moreira de Moura (2021, p. 199) que o tipo exige o antes chamado dolo específico, o qual denominamos elemento subjetivo do tipo, uma vontade especial de agir consistente em obter, adulterar ou destruir dados ou informações, no caso da invasão, ou na finalidade de obter vantagem ilícita, no caso da instalação de vulnerabilidade.

Por sua vez, o Direito Penal argentino, pela reforma da Lei 26.388, que seguiu o alinhamento da Convenção de Budapeste sobre a Cibercriminalidade, em concreto no art. 2º, formulou a conduta típica do artigo 153 bis do Código Penal de la Nación Argentina, pelo qual articulou o elemento subjetivo da seguinte maneira. Destaca-se o que narra Marcelo A. Riquert (2021):

Es interesante resaltar que, si bien el Convenio toma partido por considerar delito el simple hacking, permite que los signatarios introduzcan condicionantes tales como la vulneración de medidas de seguridad y elementos subjetivos distintos del dolo, como la intención de obtener datos u otra intención delictiva. También permite que la tipificación se limite a casos de acceso a sistema informático que esté conectado a otro. Sin embargo, cuando se observa la recepción nacional, nota general que puede predicarse respecto de todos los países de la región, se ha terminado por consagrar figuras penales de mayor amplitud, sin hacer uso de las posibilidades de restringir la tipicidad. De allí que, con acierto, Aboso dice que la del art. 153 bis es una “fórmula espartana”, al prescindir de todas estas posibilidades y ceñir el contenido del injusto típico del acceso ilegal a la falta de autorización y el carácter restringido del sistema o dato informático.

Pune-se o mero acesso — “a sabiendas”, é dizer, com dolo direto — a sistema ou dado informático de acesso restrito, “sin la debida autorización o excediendo la que posea”. A doutrina o caracteriza como delito de mera atividade e de perigo, “de antesala”, que opera subsidiariamente quando não se comprova conduta mais grave. A expressão “a sabiendas” cumpre função de restrição subjetiva: exclui o acesso fortuito, casual ou imprudente, e admite somente o dolo direto, mas o tipo “no exige ninguna ultraintencionalidad maliciosa ni elementos subjetivos distintos del dolo”.

Pune-se o mero acesso — “a sabiendas”, é dizer, com dolo direto — a sistema ou dado informático de acesso restrito, “sin la debida autorización o excediendo la que posea” (Salt; Portillo, 2022). doutrina o caracteriza como delito de mera atividade e de perigo, “de antesala”, que opera subsidiariamente quando não se acredita conduta mais grave (Gutiérrez; Radesca; Riquert, 2013). A expressão “a sabiendas” cumpre função de restrição subjetiva: exclui o acesso fortuito, casual ou imprudente, e admite somente o dolo direto, mas o tipo “no exige ninguna ultraintencionalidad maliciosa ni elementos subjetivos distintos del dolo” (Gutiérrez; Radesca; Riquert, 2013).

O bem jurídico

A definição do bem jurídico condiciona toda a análise da lesividade. Gutiérrez, Radesca e Riquert (2013) propõem, com acerto, que a tutela não se concentre no acesso em si — o que aproximaria o tipo de uma mera infração de desobediência —, mas no conteúdo confidencial que o titular, por algum motivo, decidiu não tornar público, restringindo seu acesso para resguardar seu valor reservado e, com ele, seu direito subjetivo. O bem jurídico, nessa leitura, é a privacidade ou a confidencialidade da informação, em sua dupla face de exclusividade e intimidade. De Luca (2016), na mesma direção, identifica no acesso ilegítimo uma modalidade própria de ilicitude informática, cujo objeto material é o sistema ou dado de acesso restrito.

Essa precisão tem consequência direta sobre o hacker ético. Se o que se protege é a relação de disponibilidade do titular sobre a informação confidencial, e não um interesse estatal abstrato na inviolabilidade dos sistemas, então a conduta autorizada e fomentada pelo próprio titular não pode lesar o bem que existe justamente para servi-lo. A tutela penal da confidencialidade não pode voltar-se contra quem age para preservá-la.

A limitação do poder de punir

A própria Convenção de Budapeste[6], como já narrado, fala em acesso não autorizado, mas o acesso autorizado a fim de averiguar vulnerabilidade do sistema é atípico. Mas por quê? A explicação está na dogmática penal desenvolvida pelo maior penalista do nosso tempo: Eugenio Raúl Zaffaroni.

Como é de sabença trivial, a dogmática de Zaffaroni divide a tipicidade em tipo objetivo sistemático e tipicidade conglobante, sendo o primeiro a etapa inicial de comprovação típica objetiva, é dizer, a comprovação da existência do aspecto objetivo do pragma típico. Por sua vez, a tipicidade conglobante é aquela em que se identifica o conflito, denominada função conglobante, ou seja, a verificação de que há (i) uma lesão ao bem jurídico e (ii) que ela seja objetivamente imputável ao agente como obra própria. É com essas duas perguntas que se afere a função conglobante do tipo objetivo: assim se mede a lesão ao bem jurídico e se ela é objetivamente imputável (Zaffaroni; Alagia; Slokar, 2025, p. 356-358). Assim, explica:

La tipicidad objetiva se afirma sólo cuando se hayan agotado ambas funciones del tipo objetivo (la sistemática y la conglobante). La tipicidad objetiva sistemática y la conglobante no son independientes, pues se trata de una consideración diferenciada de elementos del tipo objetivo que sirven para cumplimentar las dos funciones que éste debe cumplir para permitir afirmar la tipicidad objetiva. Ambas tipicidades permanecen vinculadas como consecuencia de que las funciones para las que son construidas se mantienen ligadas por una necesaria relación dialéctica: la función del tipo conglobante opera como contrapulsión de contención de la pulsión ampliatoria del canal de paso de poder punitivo que importa la individualización de la acción a través de la función meramente sistemática (Zaffaroni; Alagia; Slokar, 2025, p. 358).

A engenhosidade do constructo está em deslocar para o próprio juízo de tipicidade aquilo que a dogmática tradicional remetia à antijuridicidade. Se a ordem jurídica, considerada em seu conjunto, ordena, fomenta ou favorece determinada conduta, seria contraditório que outra norma da mesma ordem a proibisse. Daí que as ações fomentadas pelo direito, o cumprimento de um dever jurídico e as lesões insignificantes excluam a antinormatividade já no plano da tipicidade conglobante, sem necessidade de recorrer às causas de justificação (Zaffaroni; Alagia; Slokar, p. 370).

A distinção não é mero preciosismo sistemático e produz efeitos práticos relevantes. A conduta atípica nunca foi contrária à ordem jurídica; a conduta típica e justificada o foi, ainda que amparada por permissivo. Disso decorrem consequências quanto à legitimidade da reação de terceiros, à prova e ao alcance da intervenção penal. Reconhecer que o hacker ético atua atipicamente, e não de forma típica, porém justificada, é afirmar que sua atividade jamais esteve em contradição com o direito.

A doutrina argentina especializada chegou — sem sempre nomeá-la — a uma aplicação exemplar da tipicidade conglobante. Ao comentar os casos de atipicidade do art. 153 bis, Gutiérrez, Radesca e Riquert (2013, tradução nossa) afirmam, em passagem decisiva, que “a proibição fica excluída, do ponto de vista da análise conglobada do tipo, quando a ação de acessar dados ou sistemas de acesso restrito é realizada de maneira concomitante ao consentimento do sujeito passivo”; e acrescentam que, sendo a falta de autorização devida um elemento normativo do tipo, “o acordo prévio com terceiros legitima o agir e diretamente elimina o tipo objetivo sistemático”[7].

A formulação é zaffaroniana até no vocabulário. Não se fala em causa de justificação, mas em “análise conglobada do tipo” e em eliminação do “tipo objetivo sistemático”. O consentimento do titular, quando o bem jurídico é disponível, como a confidencialidade da própria informação não justifica uma lesão, o que impede que a lesão exista. Não há lesividade quando o titular consente em ações que poderiam ser lesivas ou perigosas para seu próprio bem[8].

Transposta ao art. 154-A do Código Penal brasileiro, a conclusão se reforça. Ali, a ausência de “autorização expressa ou tácita do usuário” integra expressamente o tipo. Havendo autorização — o contrato de pentest, os termos de um programa de bug bounty —, falta um elemento do próprio tipo objetivo, e a invasão sequer chega a ser típica. O consentimento, no desenho brasileiro, não é nem permissivo externo nem causa supralegal: é a face negativa de uma elementar.

Há, porém, um segundo fundamento, ainda mais robusto que o consentimento individual: o fomento. A atividade de segurança da informação não é apenas tolerada pela ordem jurídica, haja vista que é por ela ativamente promovida, pois ninguém quer que seus dados pessoais sejam vazados por uma falha no sistema de uma instituição financeira, por exemplo. Políticas públicas de cibersegurança, normas de proteção de dados que impõem ao controlador o dever de adotar medidas de segurança, marcos regulatórios setoriais e a própria lógica preventiva do sistema convergem para incentivar a descoberta e a correção de vulnerabilidades[9].

Gutiérrez, Radesca e Riquert (2013) reconhecem precisamente uma hipótese de atipicidade “por seguridad”, voltada a facilitar o trabalho dos engenheiros e especialistas, deste modo incluídos os “hackers éticos” que acedem para testar, restabelecer ou melhorar o sistema.

O art. 154-A do Código Penal oferece ao intérprete brasileiro um terceiro filtro, ausente no tipo argentino. A invasão só é típica quando dirigida a “obter, adulterar ou destruir dados” sem autorização ou a “instalar vulnerabilidades para obter vantagem ilícita”. O hacker ético atua exatamente para o oposto: identifica vulnerabilidades para eliminá-las e relata os achados ao titular. Falta-lhe, portanto, o elemento subjetivo especial do injusto. Ainda que se quisesse discutir a presença de autorização, a ausência do fim de obter vantagem ilícita já fulmina a tipicidade subjetiva, é dizer, o dolo é completamente oposto ao do tipo objetivo, somado, ainda, à concordância do titular do bem jurídico.

Convergem, assim, com norma incriminadora do nosso código penal, três fundamentos de atipicidade: a ausência do elemento normativo (há autorização), o fomento normativo da atividade (tipicidade conglobante) e a ausência do elemento subjetivo especial (não se busca vantagem ilícita). A leitura conglobante articula esses planos sem recorrer às causas de justificação, oferecendo solução dogmaticamente mais limpa e politicamente mais segura para o profissional, pois como definem Zaffaroni, Alagia e Slokar (2025, p. 370):

Creemos que siempre debe ser relevada como excluyente de tipicidad, estribando la diferencia en que, en los tipos que presuponen la voluntad contraria de su titular el acuerdo provoca una atipicidad objetiva sistemática, y en los que no la requieren conceptualmente una atipicidad objetiva conglobante. Por estas razones, preferimos llamar aquiescencia al género y distinguir: (a) el acuerdo, que elimina la tipicidad objetiva sistemática, (b) del consentimiento, que elimina la tipicidad objetiva conglobante.

Em síntese deste tópico, a atipicidade do hacker ético não depende de qualquer permissivo externo nem de um juízo de ponderação próprio da antijuridicidade, pois se resolve inteiramente no interior do tipo, e a precisão terminológica de Zaffaroni permite identificar em que nível isso ocorre. Quando o tipo pressupõe a vontade contrária do titular — como sucede com a cláusula “sem autorização expressa ou tácita do usuário” do art. 154-A —, o acordo do titular elimina a própria tipicidade objetiva sistemática, porque falta um elemento descritivo-normativo do tipo. Quando o tipo não exige essa vontade contrária, o consentimento opera no plano da tipicidade objetiva conglobante, afastando a antinormatividade da conduta fomentada pelo tipo.

O white hat autorizado reúne, a um só tempo, o acordo do titular, o fomento normativo da atividade de cibersegurança e a ausência do especial fim de obter vantagem ilícita. Sob qualquer dos ângulos, sua conduta é atípica desde a origem. Reconhecê-lo não é benevolência político-criminal, mas exigência dogmática, pois punir quem testa um sistema para protegê-lo seria voltar a tutela penal da confidencialidade contra o próprio bem que ela existe para servir.

A zona cinzenta ao hacker ético

A atipicidade pressupõe que a conduta permaneça dentro do marco que a fomenta e do consentimento que a autoriza. Três situações deslocam o profissional para fora desse marco.

A primeira é a ausência ou a deficiência da instrumentação jurídica, ou seja, o contrato. Julián Reale (2022) demonstra que a insegurança sobre os limites da autorização — contrato ambíguo, ausência de contrato, intenções não esclarecidas — reabre o espaço para discutir da tipicidade da conduta, razão pela qual propõe um conteúdo mínimo para o contrato de vulnerability assessment: definição das partes e do objeto, forma procedimental, níveis de disclosure, proteção de dados, autorizações e relatório final^[10]. A segunda é o excesso: atuar além do objeto contratado faz ressurgir tanto o elemento normativo (excesso da autorização que se possui) quanto, eventualmente, o fim ilícito.

A terceira é a produção de dano, e neste ponto reside um problema. Se, durante a exploração, o profissional altera, destrói ou inutiliza dados, pode incidir em tipo autônomo, o dano informático do art. 183, para. 2º, do CP argentino, ou as qualificadoras e tipos conexos no sistema brasileiro, que consiste na figura típica dos verbos “adulterar ou destruir dados”^[11]. O fomento alcança a descoberta e o reporte de vulnerabilidades; não alcança a destruição gratuita do sistema testado. Também aqui a tipicidade conglobante opera como critério, haja vista que o que se propõe é a fomentação da proteção, não a danificação.

O caso “Sorianello” ilustra bem esse ponto de equilíbrio quando analisado sob a ótica da tipicidade conglobante. O programador Joaquín Sorianello acessou o sistema de voto eletrônico da Cidade Autônoma de Buenos Aires, identificou uma falha de segurança e comunicou o fato à empresa responsável.

A Fiscalía en lo Penal, Contravencional y de Faltas nº 7, no legajo MPF83322[12], determinou o arquivamento das atuações, reconhecendo que a conduta se aproximava de uma prática própria da cibersegurança, com intenção ética típica de um white hat hacker, sem finalidade delitiva e sem efetiva lesão ao bem jurídico.

No parecer, o Ministério Público destacou que o conceito de “PWNED”[13], em termos informáticos, significa a situação em que “o pequeno”, isto é, uma pessoa, encontra uma vulnerabilidade em “um grande”, ou seja, uma empresa, utilizando uma espécie de “bandeira” simbólica para indicar que o sistema desenvolvido é vulnerável. Essa sinalização, segundo a própria decisão, não causa dano nem altera o funcionamento normal do sistema informático.

Assim, aplicou-se uma leitura compatível com o princípio da lesividade, reconhecendo que a intervenção penal não se justificava diante de uma atuação voltada à identificação e comunicação de vulnerabilidade, própria do campo da segurança da informação.

Conclusão

A figura do hacker ético expõe os limites da análise puramente formal da tipicidade. Quem realiza um vulnerability assessment autorizado pratica, na letra, o verbo dos tipos de intrusismo informático — o art. 154-A no Brasil, o art. 153 bis na Argentina —, mas não pratica o injusto que esses tipos pretendem coibir.

A teoria da tipicidade conglobante de Zaffaroni fornece o instrumento adequado para captar essa diferença. O consentimento do titular, sobre bem jurídico disponível, e o fomento normativo da atividade de cibersegurança excluem a antinormatividade da conduta já no plano da tipicidade e não no das causas de justificação. A doutrina argentina especializada, ao falar em “análisis conglobado del tipo” e em eliminação do “tipo objetivo sistemático”, já caminhava nessa direção; cabe ao intérprete brasileiro torná-la explícita.

No Direito Penal brasileiro, a conclusão é reforçada por dois traços do art. 154-A do Código Penal: a ausência de autorização como elemento normativo do tipo e o especial fim de obter vantagem ilícita como elemento subjetivo do injusto.

Ambos faltam na conduta do white hat. A atipicidade, portanto, não é concessão de política criminal: é consequência dogmática do desenho legal lido à luz do princípio da lesividade e da proteção de dados.

Referências

ABOSO, Gustavo Eduardo. Derecho penal cibernético: la cibercriminalidad y el derecho penal en la moderna sociedad de la información y la tecnología de la comunicación. Buenos Aires: B de F, 2017.

BRASIL. Decreto-lei nº 2.848, de 7 de dezembro de 1940. Código Penal. Rio de Janeiro: Presidência da República, 1940. Disponível em: https://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm. Acesso em: 16 jun. 2026.

CONSELHO DA EUROPA. Details of Treaty No.185. Convenção sobre o Cibercrime. Budapeste: COE, 2001. Disponível em: https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=185. Acesso em: 16 jun. 2026.

DE LUCA, Javier Augusto. Delitos informáticos, apuntes de 2016. In: DUPUY, Daniela; KIEFER, Mariana (org.). Cibercrimen: aspectos de derecho penal y procesal penal. Buenos Aires: B de F, 2016.

GUTIÉRREZ, Ricardo; RADESCA, Laura C.; RIQUERT, Marcelo A. Violación de secretos y de la privacidad – Comentario al art. 153 bis del Código Penal. In: Código Penal comentado. Buenos Aires: Asociación Pensamiento Penal, 2013.

MOURA, Grégore Moreira de. Curso de Direito Penal informático. 1. ed. Belo Horizonte: D’Plácido, 2021.

REALE, Julián M. Importancia de la instrumentación jurídica de un vulnerability assessment y la etapa de explotación de vulnerabilidades para evitar su criminalización. Uba Cibercrimen, n. 1, p. 47-82, 2022.

RIQUERT, Marcelo A. Una mirada actualizada sobre el hacking o intrusismo informático en el Código Penal argentino. Revista de Derecho Penal y Criminología, Buenos Aires, v. 11, n. 10, nov. 2021.

SALT, Marcos; PORTILLO, Víctor Hugo. Acceso indebido a comunicaciones electrónicas, dato o sistema informático (CP, 153 y 153 bis): el intríngulis sobre las cuestiones de competencia. Ciberdelitos, 2022. p. 392-410.

SYDOW, Spencer Toth. Curso de direito penal informático: partes geral e especial. São Paulo: JusPodivm, 2023.

ZAFFARONI, Eugenio Raúl; ALAGIA, Alejandro; SLOKAR, Alejandro. Manual de derecho penal: parte general. 3. ed. Ciudad Autónoma de Buenos Aires: Ediar, 2025.

Notas

[1]A Lei n. 12.737/2012, conhecida como “Lei Carolina Dieckmann”, introduziu no Código Penal brasileiro os arts. 154-A e 154-B, tipificando a invasão de dispositivo informático. O nome popular decorre da repercussão do caso de vazamento de imagens íntimas da atriz homônima, que acelerou a tramitação do então Projeto de Lei n. 35/2012.

[2] Art. 153 bis do Código Penal argentino, incorporado pela Lei 26.388/2008: “Será reprimido con prisión de quince (15) días a seis (6) meses, si no resultare un delito más severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido”.

[3] Reale (2022) identifica a conduta do white hat com a disciplina da cibersegurança e a do black hat com a do cibercrime, situando o “ethical hacking” entre as práticas lícitas, éticas e autorizadas.

[4] Reale (2022) descreve como etapas do penetration test: a busca de informação (information gathering), o vulnerability assessment, a exploração (exploitation), a elevação de privilégios, a pós-exploração, a persistência e a limpeza de rastros.

[5] No Brasil, promulgada pelo Decreto Legislativo n. 37/2021 e Decreto n. 11.491/2023.

[6]Convenção sobre o Cibercrime (Budapeste, 2001), art. 2º. O Relatório Explicativo (§ 47) esclarece que o ato deve ser cometido de maneira “ilegítima”, não constituindo delito o acesso autorizado pelo proprietário ou por outro titular legítimo – por exemplo, para fins de verificação autorizada ou de proteção do sistema. A Argentina aderiu pela Lei n. 27.411/2017.

[7] “naturalmente que la prohibición queda excluida desde el punto de vista del análisis conglobado del tipo cuando la acción de acceder […] se realiza de manera coetánea con el consentimiento del sujeto pasivo. Pero, en la medida en que la falta de autorización debida es un elemento normativo del tipo, el acuerdo previo con terceros legitima el accionar y directamente elimina el tipo objetivo sistemático” (Gutiérrez; Radesca; Riquert, 2013).

[8] Sobre a aquiescência (consentimento) como exclusiva da tipicidade quando o bem jurídico é disponível (Zaffaroni; Alagia; Slokar, 2025, p. 381): não há lesividade quando o titular de um bem jurídico consente em ações que podem ser lesivas ou perigosas para ele.

[9]Sobre o princípio da lesividade ou da exclusiva proteção de bens jurídicos como limite material à intervenção penal (Zaffaroni; Alagia; Slokar, 2025); e, no plano brasileiro, a leitura do art. 154-A à luz dos princípios da intervenção mínima e da ofensividade.

[10] Reale (2022, p. 69-78) propõe como conteúdo mínimo da instrumentação: partes; objeto; forma procedimental e detalhes técnicos; confidencialidade e níveis de disclosure; regras de abertura de informação; proteção de dados pessoais; autorizações e não exercício de ações; e relatório final.

[11]No Direito argentino, a exploração que altere, destrua ou inutilize dados pode configurar o dano informático do art. 183, para. 2º, do CP; no Brasil, repercute na qualificadora do art. 154-A, § 3º, e, conforme o caso, em tipos autônomos (Reale, 2022, p. 64-66).

[12] Disponível em: https://share.google/ENNiyuCziaKCHApzX.

[13] O termo “pwned”, na linguagem da informática, significa comprometer a segurança ou assumir o controle de um computador, servidor, site, dispositivo de gateway ou aplicação, evidenciando a existência de uma vulnerabilidade no sistema.