Acórdão do Supremo Tribunal de Justiça
Processo:
225/20.2TELSB.S1
Nº Convencional: 5.ª SECÇÃO
Relator: HELENA MONIZ
Descritores: RECURSO PER SALTUM
RECURSO DA MATÉRIA DE FACTO
DECISÃO QUE NÃO PÕE TERMO AO PROCESSO
PERÍCIA
COMPETÊNCIA DA RELAÇÃO
INCOMPETÊNCIA
Data do Acordão: 06/23/2022
Votação: UNANIMIDADE
Texto Integral: S
Privacidade: 1
Meio Processual: RECURSO PENAL
Decisão: DECLARAÇÃO DE INCOMPETÊNCIA.
Sumário :
I - O recurso apresentado da decisão que indeferiu a realização da perícia não constitui um recurso de uma decisão que conheça a final do objeto do processo, pelo que é inadmissível o recurso para o STJ, nos termos do art. 400.º, n.º 1, al. c), do CPP.
II - O arguido no seu recurso colocou em dúvida a sua imputabilidade e impugnou expressamente factos provados - assim sendo, não podemos considerar que o recurso seja restrito a matéria de direito, pelo que o recurso não pode ser conhecido pelo STJ, por se mostrar incompetente, por força do disposto no art. 434.º do CPP.
Decisão Texto Integral:


Processo n.º 225/20.2TELSB.S1

Acordam, em conferência, no Supremo Tribunal de Justiça:

I

Relatório

1. No Tribunal Judicial da Comarca de Lisboa (Juízo Central Criminal de Lisboa, Juiz 12), no âmbito do processo comum coletivo n.º 225/20.2TELSB, o arguido AA foi julgado e condenado por:

«- 1 (um) crime de acesso indevido (“pelo acesso a emails e credenciais de várias pessoas de várias entidades”), previsto e punido pelo artigo 47.º, n.º 1, da Lei n.º 58/2019, de 8 de Agosto (Lei da Protecção de Dados Pessoais), na pena de 4 (quatro) meses de prisão;

- 1 (um) crime de desvio de dados (“pela publicação”), previsto e punido pelo artigo 48.º, n.º 1, do mesmo diploma legal, na pena de 4 (quatro) meses de prisão.

No que concerne à ofendida AP…:

- 1 (um) crime de acesso ilegítimo agravado (entrada no sistema, com violação de regras de login), previsto e punido pelo artigo 6.º, n.ºs. 1 e 3, da Lei do Cibercrime, na pena de 8 (oito) meses de prisão;

- 1 (um) crime de dano informático, previsto e punido pelo artigo 4.º, n.º 1, da Lei do Cibercrime, na pena de 1 (um) ano e 2 (dois) meses de prisão.

No que concerne às assistentes B…:

- 1 (um) crime de acesso indevido, previsto e punido pelo artigo 47.º, n.º 1, da Lei n.º 58/2019, de 8 de Agosto (por ficar a conhecer a password verdadeira de BB, e permitir a outros a entrada no sistema), na pena de 4 (quatro) meses de prisão;

- 1 (um) crime de acesso ilegítimo agravado, previsto e punido pelo artigo 6.º, n.ºs. 1 e 3, da Lei do Cibercrime (entrada na A…Corporate com violação de segurança), na pena de 8 (oito) meses de prisão;

- 1 (um) crime de acesso ilegítimo, previsto e punido pelo artigo 6.º, n.ºs. 1 e 2, da Lei do Cibercrime (uso de bot através do qual passou dados de acesso), na pena de 4 (quatro) meses de prisão;

- 1 (um) crime de acesso ilegítimo (em co-autoria), previsto e punido pelo artigo 6.º, n.ºs. 1 e 2, da Lei do Cibercrime (pela introdução de cinco webshells), na pena de 6 (seis) meses de prisão;

- 1 (um) crime de dano informático, previsto e punido pelo artigo 4.º, n.ºs. 1 e 3, da Lei do Cibercrime (pela introdução de dados novos na App), na pena de 1 (um) ano e 2 (dois) meses de prisão;

- 1 (um) crime de acesso ilegítimo agravado, na forma tentada, previsto e punido pelo artigo 6.º, n.ºs. 1 e 4, al. a), e 5, da Lei do Cibercrime, e artigo 22.º, n.º 1, al. c), do Código

Penal (tentativa de acesso às doze caixas de correio do pessoal B..... e quatro tentativas de acesso ambiente azure - websites B.…), na pena de 1 (um) ano e 6 (seis) meses de prisão;

- 1 (um) crime de dano informático, na forma tentada, previsto e punido pelo artigo 4.º, n.ºs. 1 e 2, da Lei do Cibercrime (tentativa de publicar no site do B..... Lab), na pena de 8 (oito) meses de prisão;

- 1 (um) crime de acesso ilegítimo agravado, previsto e punido pelo artigo 6.º, n.ºs. 1, 3 e 4, al. a), da Lei do Cibercrime (acedeu e confirmou a password de CC), na pena de 2 (dois) anos de prisão;

- 1 (um) crime de ofensa a pessoa colectiva, previsto e punido pelo artigo 187.º, n.ºs. 1 e 2, e 183.º, n.º 1, al. a), do Código Penal, na pena de 3 (três) meses de prisão.

No que concerne à ofendida M…:

- 1 (um) crime de acesso ilegítimo agravado, previsto e punido pelo artigo 6.º, n.ºs. 1, 2 e 4, al. a), da Lei do Cibercrime (aplicação J…), na pena de 2 (dois) anos de prisão;

- 1 (um) crime de acesso ilegítimo agravado, previsto e punido pelo artigo 6.º, n.ºs. 1, 2 e 4, al. a), da Lei do Cibercrime (aplicação S…), na pena de 2 (dois) anos de prisão;

- 1 (um) crime de desvio de dados, previsto e punido pelo artigo 48.º, n.º 1, da Lei de Protecção de Dados Pessoais (Lei n.º 58/20219, de 8 de Agosto), na pena de 4 (quatro) meses de prisão.

No que concerne à ofendida Universidade…:

- 1 (um) crime de acesso ilegítimo agravado, previsto e punido pelo artigo 6.º, n.ºs. 1, 2 e 4, al. a), da Lei do Cibercrime, na pena de 2 (dois) anos de prisão;

- 1 (um) crime de dano informático, previsto e punido pelo artigo 4.º, n.º 1, da Lei do Cibercrime, na pena de 1 (um) ano e 2 (dois) meses de prisão;

- 1 (um) crime de desvio de dados, previsto e punido pelo artigo 48.º, n.º 1, da Lei de Protecção de Dados Pessoais (Lei n.º 58/20219, de 8 de Agosto), na pena de 4 (quatro) meses de prisão.

No que concerne à ofendida C…:

- 1 (um) crime de acesso ilegítimo agravado, previsto e punido pelo artigo 6.º, n.ºs.1, 2, e 4, al. a), da Lei do Cibercrime (ataque SQL-Injection, introdução de ferramentas para carregar programas e acesso a dados pessoais), na pena de 2 (dois) anos de prisão;

- 1 (um) crime de acesso ilegítimo agravado, previsto e punido pelo artigo 6.º, n.ºs. 1 e 3, da Lei do Cibercrime, na pena de 1 (um) ano e 2 (dois) meses de prisão;

- 1 (um) crime de desvio de dados (em co-autoria), previsto e punido pelo artigo 48.º, n.º 1, da Lei de Protecção de Dados Pessoais (Lei n.º 58/20219, de 8 de Agosto), na pena de 4 (quatro) meses de prisão.

No que concerne ao ofendido Jornal …:

- 1 (um) crime de acesso ilegítimo, previsto e punido pelo artigo 6.º, n.º 1, da Lei do Cibercrime, na pena de 4 (quatro) meses de prisão;

- 1 (um) crime de dano informático, previsto e punido pelo artigo 4.º, n.º 1, da Lei do Cibercrime, na pena de 1 (um) ano e 2 (dois) meses de prisão.

No que concerne à ofendida ALR…:

- 1 (um) crime de acesso ilegítimo, previsto e punido pelo artigo 6.º, n.ºs. 1 e 2, da Lei do Cibercrime, na pena de 4 (quatro) meses de prisão;

- 1 (um) crime de dano informático, previsto e punido pelo artigo 4.º, n.ºs. 1 e 3, da Lei do Cibercrime, na pena de 1 (um) ano e 2 (dois) meses de prisão.

No que concerne ao ofendido I…:

- 1 (um) crime de acesso ilegítimo agravado, previsto e punido pelo artigo 6.º, n.ºs. 1, 2 e 4, al. a), da Lei do Cibercrime, na pena de 2 (dois) anos de prisão;

- 1 (um) crime de desvio de dados, conforme previsto e punido pelo artigo 48.º, n.º 1, da Lei de Protecção de Dados Pessoais (Lei n.º 58/20219, de 8 de Agosto), na pena de 4 (quatro) meses de prisão.»

Em cúmulo jurídico, foi condenado na pena única de 6 anos de prisão.

2.1. Inconformado, o arguido interpôs recurso para o Tribunal da Relação de Lisboa, e concluiu a motivação nos seguintes termos:

«a) O presente Recurso circunscreve-se a duas questões, o indeferimento da realização de Exame Pericial Psiquiátrico ao arguido e, a não aplicação do Regime Penal Especial para Jovens;

b) O arguido, que optou por não falar em audiência de discussão e julgamento, falou em sede dos DOIS Interrogatórios Judiciais de Arguido Detido, esclarecendo alguma factualidade e negando outra, mas sem plena perceção da gravidade do ato a que foi presente e dos factos que lhe eram apontados;

c) O MM.º JIC considerou as explicações fornecidas pelo arguido como incongruentes e incompatíveis com a normalidade do acontecer face aos restantes indícios apurados de que o arguido desenvolvia prática de elevada sofisticação de intrusão informática, no entanto, desconsiderou que se trata de jovem de 19 anos com o 6.º ano de escolaridade (obtido em comunidade terapêutica, pois apenas concluiu a 4.ª classe no ensino regular), fechado sobre si mesmo e com explicações de fantasia sobre as regras que não percebeu ter violado;

d)Escapou assim o MMº JIC estar perante um jovem com problemas psiquiátricos, a quem não devia comprar o seu próprio filho de 19 anos, que certamente não conseguiria aceder aos sistemas informáticos a que o arguido acedeu, e certamente não terá apenas a 4.ª classe;

e) O arguido foi mesmo presente ao JIC em dois interrogatórios de arguido detido, no ultimo dos quais solicitou um psicólogo, no que foi ironizado pelo MM.º JIC;

f) Mas Requerida perícia médica psiquiátrica ao arguido, tal requerimento foi indeferido pelo MM.º Tribunal A QUO num primeiro momento e em sede de Acórdão sob recuso, apesar dos claros sinais de que o arguido padece de patologia psiquiátrica;

g) O Relatório Inicial a folhas 4 desde logo descreve que a ligação do arguido a uma Hacker de renome mundial desenvolveu-se pelo facto de ambos alegarem sofrerem da síndrome de Asperger;

h) No parágrafo 53 da Acusação é descrito que o próprio arguido identificou-se numa das suas publicações com #asperger - #;

i) No parágrafo 121 da Acusação é descrito que o próprio arguido escreveu numa das usas publicações - O menino do asperger tá on fire -;

j) Eram vários os elementos, os momentos processuais que apontavam para a possível disfunção mental do arguido, síndrome de autismo mitigado conhecido por ASPERGER;

k) Ao MM.º JIC e ao Tribunal A QUO escapou a especificidade mental do arguido, pois desconsideraram por completo a natureza mental peculiar do arguido, o facto de não ter conseguido terminar com sucesso o 5.º e o 6.º anos de escolaridade normal para criança de 11 anos, passando às matérias mais básicas aí lecionadas, mas apesar disso ter uma capacidade inata e incompreendida de analisar sistemas informáticos de elevada sofisticação, apenas com a 4.ª Classe obtida de forma regular, a folhas 8 do Apenso das transcrições, aquando do Segundo Interrogatório Judicial, o arguido afirma (primeiro parágrafo) que por vezes basta-lhe olhar para identificar as vulnerabilidades do sistema informático;

l) É óbvio que estamos perante alguém com uma disfunção mental que no caso concreto eleva as suas capacidades cognitivas para um determinado interesse específico, a análise se sistemas informáticos altamente complexos, enquanto se mostram prejudicadas todas as demais capacidades cognitivas e sociais de distinção do certo e do errado;

m) Apenas no Estabelecimento Prisional ... para cumprimento da medida de Prisão Preventiva, o arguido veio a beneficiar de acompanhamento psicológico e a folhas 1010 dos autos, é incluso o Relatório Clinico n.º ..., a pedido da defensora Oficiosa (que não foi promovido pelo próprio JIC ou Ministério Público), do qual resulta que se considerou a existência de risco auto-lesivo e ideação suicida, afastados entretanto em função do acompanhamento psicológico de que estava a beneficiar, absolutamente necessário;

n) Mas por Despacho de 13/07/2021 pelo Tribunal A QUO foi indeferida a realização de Perícia Médica Psiquiátrica ao arguido;

o) Fê-lo considerando que dos autos nada se retirava que o arguido padecesse de doença do foro psiquiátrico ou que no momento da prática dos factos que lhe são imputados fosse portador de uma anomalia grave que o tornasse incapaz de avaliar a ilicitude dos factos ou de se determinar de acordo com essa mesma avaliação, isto, apesar de, diremos nós, ter apenas a 4.ª Classe e conseguir realizar o que muitos licenciados em informática demoraram semanas para desfazer, afirmando apenas pretender expor vulnerabilidades e reportá-las aos interessados, sendo essa a sua grande paixão, pela qual mal como e mal dorme. Não serão estes indícios suficientes?

p) Foram, pois, ignorados claros sinais de evidente patologia do foro psiquiátrico do arguido, apear dos elementos considerados provados nos parágrafos 291 a 317;

q) De uma família desestruturada e de baixa condição social, nunca seriam estes ou o próprio arguido, a conseguir reunir os elementos médicos necessários para que o Tribunal A QUO pudesse aferir com certezas da existência desta limitação mental, mas, sem dever ser prejudicado por essa baixa capacidade social, deveria ter sido o próprio Tribunal A QUO a dar todas as garantias de defesa ao arguido, possibilitando a realização da perícia requerida e debelando quaisquer dúvidas sobre a sua imputabilidade diminuída, pois apenas agora o Médico de Família encaminhou o arguido para uma Consulta de Psiquiatria;

r) Veja-se a título exemplificativo a jurisprudência do STJ – acórdãos de 18/02/2009678 e de 06/01/2010679;

s) O arguido exibiu e exibe todas as características do Síndrome de Asperger e, assim, deve o douto Acórdão de ser anulado e ordenada a realização de Perícia Psiquátrica ao arguido a fim de verificar da existência de tal patologia, como o mesmo admite, de entre outras, nas publicações apontadas nos parágrafos 53 e 121 da Acusação, por forma a consubstanciar o seu grau de culpa e em função da mesma, determinar de forma correta a medida da pena a aplicar, possivelmente atenuada e suspensa na sua execução, ainda que sujeita a condições, aliás;

t) O MM.º Tribunal A QUO errou ao não considerou aplicar ao arguido o regime penal especial para jovens;

u) Com o indeferimento da perícia psiquiátrica requerida, prejudicou duplamente a defesa e a justa decisão e medida da pena a aplicar ao arguido com 18 e 19 anos à data da prática dos factos;

v) O contexto socioeconómico deficitário, registando, desde cedo, dificuldades comportamentais, assim como os problemas de socialização e a um elevado absentismo escolar, tendo apenas concluído o 6.º ano de escolaridade, no âmbito de uma medida de acolhimento familiar, e, a ausência em juízo de qualquer reconhecimento sobre a censurabilidade das suas condutas, seriam sempre de molde a precisamente fazer atuar o artigo 8.º do DL 481/82, de 23 de Setembro;

w) A aplicação do Regime Especial resultaria numa pena especialmente atenuada nos termos dos artigos 73.º e 74.º do Código Penal, podendo ainda ser uma pena de prisão suspensa na sua execução, sujeita a regime de prova, e desde logo, também com imposição de medidas de acompanhamento do foro psiquiátrico, como possibilitado pelo mencionado artigo 8.º, salvaguardaria todas as vantagens de reinserção social do jovem condenado;

x)A defesa pugnou meramente pelo debelar da dúvida sobre as capacidades e, como tal, sobre os níveis de responsabilidade e culpa do arguido, em função de uma patologia com sinais evidentes nos autos e que nos coibimos de voltar a repetir;

y) Esteve bem o MM.º Tribunal A QUO ao condenar, esteve mal ao determinar a medida da pena, resultante do indeferimento da perícia médica e da aplicação do Regime Especial para Jovens;

Pelo que nestes termos e nos melhores de direito aplicáveis, deve o presente Recurso de Proceder e, por via dele, anulado o Douto Acórdão, sendo os Autos devolvidos à Primeira Instancia, ordenando-se a realização de Perícia Psicológica ao arguido a fim de aferir se o mesmo sofre de alguma patologia, designadamente Síndrome de Asperger, proferindo nova decisão em conformidade com o resultado de tal Perícia e Regime Penal Especial para Jovens, em atenção a toda a factualidade tida por provada, assim se fazendo, sã, serena mas, sobretudo, objetiva…Justiça!»

2.2. Foi ainda junto um documento referente a marcação de consulta médica na área da psiquiatria.

3. O recurso foi admitido por despacho de 07.03.2022.

4. Na instância, o Ministério Público respondeu tendo concluído nos seguintes termos:

«I. O recorrente foi condenado pela prática, em autoria e co-autoria material, e em concurso real, dos crimes supra aludidos, em cúmulo jurídico na pena (única) de 6 (seis) anos de prisão.

II. Não se conformando, apresentou recurso circunscrito a duas questões:

- o indeferimento da realização de Exame Pericial Psiquiátrico ao arguido (eventual violação dos artigos Artº 160º do CPP)

- a não aplicação do Regime Penal Especial para Jovens;

Entende o recorrente que:

- não obstante não ter prestado declarações em sede de audiência de discussão e julgamento, fê-lo por duas vezes, quando foi interrogado pelo Mmo Juiz de Instrução Criminal, em interrogatório judicial, da forma que entendeu, sem que tivesse, contudo, plena perceção da gravidade do ato a que havia sido presente e dos factos que lhe eram apontados.

-O Mmo Juiz de Instrução considerou as explicações fornecidas pelo arguido como incongruentes e incompatíveis com a normalidade do acontecer face aos restantes indícios apurados de que o arguido desenvolvia prática de elevada sofisticação de intrusão informática, no entanto, desconsiderou que se tratava de jovem de 19 anos com o 6.º ano de escolaridade (obtido em comunidade terapêutica, pois apenas concluiu a 4.ª classe no ensino regular), fechado sobre si mesmo e com explicações de fantasia sobre as regras que não percebeu ter violado.

- Face ao ocorrido nesses interrogatórios judiciais, entende o recorrente que ‘escapou’ (termo utilizado pela defesa) ao Mmo Juiz de Instrução Criminal estar perante um jovem com problemas psiquiátricos, a quem não devia comparar o seu próprio filho de 19 anos, que certamente não conseguiria aceder aos sistemas informáticos a que o arguido acedeu, e certamente não terá apenas a 4.ª classe.

- No último interrogatório judicial a que o arguido foi sujeito, quando solicitou um psicólogo, tal solicitação foi ironizada pelo Mmo Juiz de Instrução Criminal, não tendo sido acedido tal pedido.

- Já na fase judicial dos autos, por requerimento apresentado pelo recorrente foi requerida a realização de perícia médica psiquiátrica ao arguido, tendo tal requerimento sido indeferido num primeiro momento e em sede de Acórdão sob recuso, apesar dos claros sinais de que o arguido padece de patologia psiquiátrica.

- O arguido exibiu e exibe todas as características do Síndrome de Asperger e, assim, deve o douto Acórdão de ser anulado e ordenada a realização de Perícia Psiquiátrica ao arguido a fim de verificar da existência de tal patologia,

- O Tribunal A QUO errou ao não considerar aplicar ao arguido o regime penal especial para jovens;

- Com o indeferimento da perícia psiquiátrica requerida, prejudicou duplamente a defesa e a justa decisão e medida da pena a aplicar ao arguido com 18 e 19 anos à data da prática dos factos;

- O contexto socioeconómico deficitário, registando, desde cedo, dificuldades comportamentais, assim como os problemas de socialização e a um elevado absentismo escolar, tendo apenas concluído o 6.º ano de escolaridade, no âmbito de uma medida de acolhimento familiar, e, a ausência em juízo de qualquer reconhecimento sobre a censurabilidade das suas condutas, seriam sempre de molde a precisamente fazer atuar o artigo 8.º do DL 481/82, de 23 de Setembro;

- A aplicação do Regime Especial resultaria numa pena especialmente atenuada nos termos dos artigos 73.º e 74.º do Código Penal, podendo ainda ser uma pena de prisão suspensa na sua execução, sujeita a regime de prova, e desde logo, também com imposição de medidas de acompanhamento do foro psiquiátrico, como possibilitado pelo mencionado artigo 8.º, salvaguardaria todas as vantagens de reinserção social do jovem condenado;

- Esteve bem o MM.º Tribunal A QUO ao condenar, esteve mal ao determinar a medida da pena, resultante do indeferimento da perícia médica e da aplicação do Regime Especial para Jovens;

IV. Em nosso entender, não assiste razão ao recorrente, pelo que, deverá ser negado provimento ao recurso interposto, mantendo-se o douto Acórdão recorrido nos seus precisos termos.

V. O arguido AA foi sujeito por duas vezes a interrogatório judicial de arguido detido, tendo na segunda vez visto ser-lhe alterada a medida de coação, face às condutas que adoptou no decorrer do inquérito (porque continuou a praticar actos ilícitos), tendo-lhe sido aplicada a medida de coação de prisão preventiva.

VI. O arguido prestou declarações, fazendo-o de forma livre e consciente, não se verificando que as explicações fornecidas pelo arguido tenham sido incongruentes e incompatíveis com a normalidade das coisas, como alega o recorrente, não resultando das mesmas que o arguido sofresse ou sofra de qualquer problema psicológico, nem sequer resultando o mínimo indício, que fosse, de que o recorrente padecesse de qualquer problema psicológico.

VII. Não decorre dos autos que nesses interrogatórios tenha sido suscitada alguma questão ou qualquer dúvida quanto à imputabilidade do arguido.

VIII. Foi proferida acusação contra o arguido e em 17.06.2021 foi proferido despacho nos termos dos artigos 311.º e 313.º do C.P.P, não foi apresentada contestação.

IX. Já na fase judicial dos autos, foi apresentado requerimento que, no que importa, aludindo ao Relatório Clínico dos Serviços do EP ... emitido em 9/03/2021 e às evidências de maior fragilidade, requeria que fosse ordenada perícia médico-legal, com incidência em exames à personalidade do Arguido.

X. Em 13.07.2021, a Mma Juiz proferiu despacho, donde resulta que dos autos nada se retira que o arguido padeça de doença do foro psiquiátrico ou que no momento da prática dos factos que lhe são imputados fosse portador de uma anomalia grave que o tornasse incapaz de avaliar a ilicitude dos factos ou de se determinar de acordo com essa mesma avaliação, sendo certo que, a circunstância de se ser portador de uma qualquer patologia psiquiátrica não torna o agente por si só, inimputável, pelo que, por ora, não se vislumbrando pertinência no requerido, indeferiu-se o solicitado, sem prejuízo, de a mesma ser ordenada caso se mostre necessário, após o início de produção de prova.

XI. Tal despacho transitou em julgado.

XII. O julgamento iniciou-se sem qualquer interferência, não tendo, no seu decorrer, sido colocada em questão a imputabilidade do arguido, não decorrendo da qualquer acta da audiência de julgamento, que qualquer dúvida/suspeita tenha sido suscitada, no seu decurso, sobre tal matéria, por qualquer dos sujeitos processuais.

XIII. Só agora, em sede de recurso, é que o recorrente veio levantar tal questão novamente, estribando-se na expressão utilizada pelo arguido em sede de interrogatório judicial, quando referiu que queria um psicólogo e bem assim no facto de no Estabelecimento Prisional ... ainda em Prisão Preventiva, o recorrente ter beneficiado de acompanhamento psicológico e também no referido no Relatório Clinico n.º ..., do qual resulta que se considerou a existência de risco auto-lesivo e ideação suicida, afastados entretanto em função do acompanhamento psicológico de que estava a beneficiar, concluindo que foram ignorados claros sinais de evidente patologia do foro psiquiátrico do arguido, apesar dos elementos considerados provados nos parágrafos 291 a 317, acrescentando agora que o     arguido exibiu e exibe todas as características do Síndrome de Asperger.

XIV. Contudo, não apresenta os recorrentes elementos claros e minimamente fundamentados e documentados para concluir da forma que conclui, apenas ‘atirando para o ar’ aquilo que julga ser pertinente para que se considere que o recorrente sofre e sofria à data dos factos de anomalia psíquica, o que o tornaria inimputável.

XV.      Não foi suscitada pelo arguido durante o julgamento a questão da sua imputabilidade/inimputabilidade, nem decorre de qualquer acta da audiência de julgamento, que qualquer dúvida /suspeita tenha sido suscitada no seu decurso, sobre tal matéria, por qualquer dos sujeitos processuais, nem foram apresentados sinais evidentes e visíveis, por parte do arguido, de que o mesmo padecesse de qualquer anomalia que levasse a que o Mmo Juiz (ou colectivo de juízes) a determinar a realização de uma perícia psiquiátrica.

XVI. Quer isto dizer que ninguém – incluindo, pois, o ora recorrente – duvidou das suas capacidades cognitivas, não se colocando a questão da inimputabilidade, sendo o mesmo capaz, à data da prática dos factos, de entender a ilicitude dos seus actos e de se determinar de acordo com essa avaliação, e também não apresenta, no presente, anomalia psíquica que o impeça de compreender o sentido de uma eventual sanção penal.

XVII Carece de fundamento pretender agora o recorrente, por via de recurso, obter a realização de uma perícia, sendo despropositada a invocação, a esse respeito, de uma pretensa violação dos artigos 151.º e 351.º do C.P.P..

XVIII.  O artigo 9º do Código Penal remete para legislação especial o regime penal dos indivíduos maiores de 16 e menores de 21 anos.

A imposição de um regime penal próprio para os designados "jovens delinquentes" traduz uma das opções fundamentais de política criminal, ancorada em concepções moldadas por uma racionalidade e intencionalidade de preeminência das finalidades de integração e socialização, e que, por isso, comandam quer a interpretação, quer a aplicação e a avaliação das condições de aplicação das normas pertinentes.

XX. O regime penal de jovens, não pode ser conceptualmente considerado como lei especial, mas, antes, materialmente, constitui o regime regra aplicável a todos os arguidos que estejam compreendidos nas categorias etárias que prevê, verificados os pressupostos que condicionam a aplicação; constitui no rigor um regime específico e não um regime especial. É o que resulta do artigo 2º do referido Decreto-Lei nº 401/82.

XXI. São dois são os requisitos para a atenuação especial da pena ao abrigo do regime, no caso de ser aplicável pena de prisão. Um de natureza formal: ter o agente entre 16 e 21 anos de idade à data dos factos; outro material: haver razões para crer que da atenuação resultem vantagens para a reinserção do condenado.

XXII. Este segundo requisito é de natureza diferente, e mais flexível, do que o previsto no art. 72º, nº 1 do Código Penal (CP), que impõe, como condição da atenuação especial, uma diminuição acentuada da ilicitude, ou da culpa, ou da necessidade da pena.

XXIII.  Ou seja, para a aplicação da atenuação especial da pena ao abrigo do art. 4º do DL nº 401/82 basta que se apure que essa atenuação favorece a ressocialização do agente, haja ou não diminuição da ilicitude ou da culpa.

XXIV.   Este preceito estabelece, pois, um regime específico de atenuação especial, restrito aos jovens condenados, segundo o qual, as razões da ressocialização prevalecem sobre as razões dos demais fins das penas.

XXV.    Verifica-se que o percurso pessoal do arguido (que à data dos factos era menor de 21 anos de idade), quer no aspeto familiar, quer no aspeto social, apresenta traços de marginalidade ou desviância, não tendo sido este o seu primeiro contacto com a justiça, porquanto o mesmo já foi condenado pela prática de crimes de roubo e por outros ilícitos de idêntica natureza aos praticados nos presentes autos, não sendo os factos dos autos uma conduta excepcional face ao comportamento anterior do arguido.

XXVI. Verifica-se também que o mesmo cresceu num contexto socioeconómico deficitário, registando, desde cedo, dificuldades comportamentais, com incapacidade dos progenitores para contenção de tais comportamentos, associados a problemas de socialização e a um elevado absentismo escolar, tendo apenas concluído o 6.º ano de escolaridade, no âmbito de uma medida de acolhimento familiar, aplicada num processo de promoção e protecção, como bem se salientou no Acórdão.

XXVII. Feito este raciocínio, como bem fizeram os Mmos Juizes, no nosso entender, dúvidas não restam que o percurso de vida e social do arguido não favorece a aplicação do regime penal para jovens.

XXVIII. A atitude do arguido não foi determinada nem influenciada por problemas de inserção social ou de formação da personalidade, pelo que não faz sentido aplicar um regime que procura incentivar a “reinserção social” ou “reeducação” do delinquente, não sendo possível formular um juízo de prognose favorável no sentido da aplicação de tal regime resultarem vantagens.

XXIX.   Com efeito, a leitura da fundamentação ínsita no acórdão recorrido revela não terem sido considerações de ilicitude e de culpa, ou de ausência de diminuição acentuada da ilicitude e da culpa que determinaram a recusa da aplicação da atenuação especial mas sim razões que se prendem com a demonstração da vantagem da atenuação para a ressocialização, tendo o Tribunal considerado a personalidade global do arguido, que não apenas o comportamento referente aos factos e o mantido em julgamento, mas também o comportamento anterior e posterior, que se afiguraram relevantes.

XXX. E por tal motivo não merece reparo o Acórdão recorrido, devendo o mesmo manter-se na integra.

XXXI.  Não assiste qualquer razão ao recorrente, devendo o presente recurso improceder in totum.

Assim, se conclui no sentido de ser negado provimento ao recurso e, consequentemente, ser mantido Acórdão recorrido.»

5.1.  Responderam também ao recurso apresentado os assistentes S… e B..... — Futebol SAD e B..... Estádio — Construção e Gestão de Estádios, S.A com os seguintes fundamentos:

«I.

Primeiras palavras

1. O Arguido pretende a anulação do Acórdão recorrido.

Os motivos são dois: primeiro, não foi ordenada a perícia psicológica que afirma ser essencial para demonstrar a sua suposta imputabilidade diminuída; segundo, o Tribunal não aplicou o Regime Especial Aplicável a Jovens Delinquentes.

Começando pelo óbvio, com a brevidade que o óbvio merece, não há, nem poderia haver, em abstracto ou em concreto, qualquer nulidade do acórdão.

O que o Arguido alega, no primeiro caso, é umsuposto vício de julgamento, que repercute no acto decisório errado, já que sobre o requerimento de perícia recaiu despacho em Julho de 2021 ([1]), despacho esse transitado e consolidado por inércia e implícita aceitação da defesa, e, no segundo caso, é uma discordância quanto a uma questão de direito, decidida de forma correcta e fundamentada, e insusceptível de gerar qualquer vício, por muito que dela o Arguido discorde.

Quanto às supostas nulidades, por ora, é tudo o que se dirá.

Perguntar-se-á, porventura, se apesar da improcedência da questão de forma, haverá mérito na alegação do Arguido–i.e., se as questões suscitadas no recurso, não configurando embora nulidades, consubstanciarão erros de direito, susceptíveis de levarem à revogação ou modificação do acórdão recorrido.

A resposta também se afigura evidente: não.

3. Em primeiro lugar porque a demonstração da imputabilidade diminuída do Arguido não se basta com a alegação, superficial, conjectural, e, sublinhe-se, inovadora, em sede de recurso, de que o Arguido padece de síndrome de Asperger, suportada apenas no seu insucesso escolar, nos seus conhecimentos informáticos alegadamente avançados e no diagnóstico feito pelo próprio nas publicações em que se vangloria dos seus crimes.

Em segundo lugar porque a não aplicação do Regime Especial Aplicável a Jovens Delinquentes assentou na verificação, juridicamente sustentada e factualmente demonstrada, da inexistência de sérias razões para crer que da atenuação resultem vantagens para a reinserção social do jovem condenado – até porque, dizemo-lo nós, o mesmo já antes beneficiou desse regime, com os resultados que estão à vista.

Tanto basta para concluir pela total improcedência do recurso do Arguido.

Vejamos, contudo, com mais detalhe,

II.

A alegada imputabilidade diminuída do Arguido

4. São três os motivos que levam o Arguido a concluir que o Tribunal a quo andou mal ao não ordenar a realização de uma perícia psiquiátrica.

Primeiro, o insucesso escolar do Arguido, contraposto ao seu histórico de delinquência e inadaptação.

Segundo, os supostos conhecimentos informáticos sofisticados do Arguido, alegadamente inalcançáveis a qualquer outro que, com a mesma idade, não padeça daquela síndrome.

Terceiro, a alegada existência de indícios nos autos de que o Arguido sofreria de síndrome de Asperger.

5. Não cabe às Recorridas pronunciar-se quanto ao diagnóstico apresentado agora, pela primeira vez, pelo Arguido.

Até porque, à semelhança do Arguido – o único até agora a corroborar o seu próprio diagnóstico –, as Recorridas não dispõem dos conhecimentos médicos que lhes permitiriam confirmar ou infirmar qualquer patologia, do foro psiquiátrico ou de outra natureza.

O que as Recorridas podem e tencionam fazer é pronunciar-se quanto ao mérito, em matéria processual, da alegação do Arguido.

E aí a conclusão é simples: a alegação é, quanto ao momento, intempestiva, e, quanto aos indícios, manifestamente insuficiente.

Quanto ao momento da alegação,

6. O Arguido, por si ou através do seu defensor, durante toda a fase de inquérito, incluindo durante os seus dois interrogatórios judiciais, nunca suscitou a questão da síndrome de Asperger.

Após dedução da Acusação, o Arguido não requereu a abertura de instrução e nada disse quanto a este ponto.

Notificado, em 18.06.2021, nos termos do disposto no artigo 315.º do CPP, o Arguido não apresentou contestação. Não requereu a realização de perícia.

Não arrolou testemunhas.

Foi apenas em 11.07.2021, em requerimento autónomo, que o Arguido requereu a realização de duas perícias, uma informática e uma psiquiátrica, a última das quais com vista a “aferir-se em sede própria, sobre eventual grau de consciência e culpa ou traços de personalidade do Arguido.” ([2])

Novamente, nenhuma referência à agora invocada síndrome de Asperger.

No dia 13.07.2021, o Tribunal a quo concluiu que “dos autos nada se retira que o arguido padeça de doença do foro psiquiátrico ou que no momento da prática dos factos que lhe são imputados fosse portador de uma anomalia grave que o tornasse incapaz de avaliar a ilicitude dos factos ou de se determinar de acordo com essa mesma avaliação, sendo certo que, a circunstância de se ser portador de uma qualquer patologia psiquiátrica não torna o agente por si só, inimputável.” ([3])

Concluiu, então, o Tribunal que seria de indeferir a realização da referida diligência, “sem prejuízo, de a mesma ser ordenada caso se mostre necessário, após o início de produção de prova”.

O Arguido não recorreu. Não voltou a requerer a realização de perícia.

8. Passou-se todo o julgamento sem que nenhuma questão de imputabilidade diminuída tenha sido suscitada.

Não foi feita uma pergunta às testemunhas que o indiciasse.

Não foi junto um relatório médico que o sugerisse.

Nada foi dito em sede de alegações orais.

Nunca se proferiram as palavras “síndrome de Asperger”.

Dito isto,

9. Do que acaba de se dizer resulta que existe uma questão transitada e julgado e uma questão nova, alegada pela primeira vez em recurso, ambas insusceptíveis de serem conhecidas nesta sede.

A questão transitada em julgado respeita à realização de perícia psiquiátrica para aferição do grau de imputabilidade do Arguido.

A defesa requereu-o, o Tribunal decidiu, a decisão transitou em julgado.

A questão nova é a alegação da síndrome de Asperger como fundamento para se ordenar a realização de uma perícia psiquiátrica.

10. Começando pela questão transitada em julgado, importa distinguir dos actos decisórios.

O primeiro acto decisório é o despacho de 13.07.2021, no qual o Tribunal concluiu pela inexistência de fundamentos que justificassem a realização de uma perícia psiquiátrica e indeferiu o requerimento do Arguido.

Nesse despacho, o Tribunal comprometeu-se a reavaliar o decidido, caso algum elemento surgisse em audiência de julgamento que o levasse a questionar a bondade da sua decisão.

O segundo acto decisório é a sentença, em que o Tribunal mantém o decidido no despacho de 13.07.2021 com fundamento na circunstância de não ter “sobrevindo qualquer elemento novo susceptível de alterar a decisão anteriormente proferida pelo Tribunal sobre estas mesmas questões (cfr. despacho de fls. 1892)”.

11. O primeiro acto decisório, o despacho, tem como fundamento a inexistência de elementos que justifiquem a realização da perícia, ao passo que o segundo acto decisório, a sentença, tem como fundamento a não superveniência, em audiência de julgamento, de elementos que justificassem inverter o decidido no primeiro.

Ora, o que o Arguido contesta são os fundamentos para a decisão de não realizar a perícia, que serviram de base à decisão constante do despacho de 13.07.2021, não contesta os fundamentos que levaram o Tribunal, na sentença, a não reverter o decidido.

Tanto mais que todos os supostos indícios que o Arguido invoca para a realização da perícia já constavam dos autos à data do despacho de 13.07.2021. Nenhum surgiu em julgamento.

Numa palavra: o Arguido entende que a perícia deveria ter sido realizada logo quando requerida, com fundamento em elementos que já constavam dos autos à data do despacho; não entende que o Tribunal errou ao dizer na sentença que não surgiram elementos novos que alterassem o sentido decisório.

Daqui resulta que o Arguido procura recorrer de um acto decisório transitado em julgado (o despacho), interpondo recurso de outro acto decisório (a sentença).

Não pode ser. Sobre aquela questão formou-se caso julgado, e, por isso mesmo, não pode a mesma ser novamente apreciada.

12. Mas o Arguido invoca também uma questão nova: a síndrome de Asperger.

E para isso utiliza como fundamento principal a circunstância de alegadamente já existirem elementos nos autos que permitiriam indiciá-lo – ainda que a Defesa nunca o tenha suscitado.

Elementos que o Arguido agora destaca, envolvidos em ideias vagas, imprecisas e pouco rigorosas sobre o que constitui a síndrome de Asperger para tentar, diríamos nós, em vão, impressionar o Tribunal sobre a aparente evidência dos indícios.

13. Mas não há indícios. Não há sequer aparência de indícios. E não há certamente sinal de menção a indícios em momento prévio ao recurso.

Em rigor, existem nos autos precisamente três referências à síndrome de Asperger: todas elas com dois elementos em comum: (i) o facto de terem como origem apenas o próprio Arguido e (ii) o facto de nunca terem sido alegados pela Defesa.

14. A primeira dessas referências consta precisamente do Relatório Inicial da Polícia Judiciária.

O contexto em que esta referência é feita merece destaque.

A fls. 4, diz-se que o Arguido “continua a ser bastante desconsiderado pela comunidade hacker nacional” e que “para desenvolver este projeto DD tem conduzido atividades para se aproximar de um reputado hacker internacional conhecido como EE, co-líder do grupo internacional – U... –, e ligado a essa comunidade desde 2006.”

O hacker EE, cuja identidade é FF, “alega sofrer da síndrome de Asperger (argumento que utiliza para justifica algumas das suas ações ilícitas), procurando reconhecimento e notoriedade dentro da subcultura hacker” (cf. fls. 5 dos autos).

De seguida, a fls. 6, diz-se que “o relacionamento entre “EE” e “DD” desenvolveu-se em 2019 e o elo de ligação, para além do interesse pelas atividades de hacking, foi o facto de os dois alegarem sofrer da síndrome de Asperger.”

Portanto, o que a Polícia Judiciária assinala é que o Arguido é desconsiderado pela comunidade hacker nacional ([4]) – por, contrariamente à aparência de génio informático que a defesa agora lhe quer atribuir, ser considerado um hacker amador – e, na expectativa de merecer atenção de um hacker respeitado por essa comunidade, utilizou como elo de ligação ao mesmo a alegação de que também padeceria de síndrome de Asperger.

15. A segunda e terceira referências à síndrome de Asperger constam, de facto, dos parágrafos 53 e 121 da Acusação e, acrescentamos nós, dos parágrafos 53 e 120 da matéria de facto do acórdão.

A primeira dessas referências é a transcrição de um hashtag ([5]) utilizado pelo Arguido numa publicação onde se vangloriava de um ataque informático.

Esse hashtag (‘#asperger’) surgia em antepenúltimo, numa lista de 2 hashtags, a seguir a temas como #fuckcorruption, #freeallhackers, #globalwarming, #fridaysforfuture e #climatechange, o que bem revela o destaque que o Arguido lhe atribuía

E deixou de surgir nas outras publicações do Arguido, em que este escolheu outros hashtags e outras causas, sem fazer qualquer menção à síndrome de Asperger, como quando escolheu a causa “Legalize a erva! (A bebida é que mata)” ([6]), ou #OPPedogate, alegadamente contra a pedofilia, e que incluiu a divulgação de credenciais de acesso de websites que incluíam os do …. e da … ([7]).

16. À excepção destas referências da autoria do próprio Arguido, em momento prévio sequer à instauração do presente processo-crime, não consta uma única menção à síndrome de Asperger em qualquer peça processual.

O que significa que a questão aqui suscitada, de alegada imputabilidade diminuída do Arguido com fundamento na síndrome de Asperger, é uma questão absolutamente nova no processo.

17. Ora, o recurso serve para reapreciar questões que tenham sido previamente submetidas à apreciação da instância recorrida e que por ela tenham sido conhecidas ou devessem tê-lo sido, não serve – perdoe-se-nos a menção ao óbvio, mas neste caso o óbvio é a única resposta – para se suscitarem questões novas.

Não serve, sublinha-se, para o Arguido retirar cartas da manga ou para súbitas inversões na estratégia de defesa.

Se o Arguido queria ver a questão apreciada, então teria de suscitá-la em inquérito ou julgamento.

O que não pode fazer é vir agora dizer que o Tribunal a quo deveria ter conhecido de uma questão à qual o próprio Arguido nunca fez qualquer menção em mais de dois anos de processo.

De resto, como bem assinala o Supremo Tribunal de Justiça, “a suscitação, em recurso, de uma questão nova, que foi não foi apresentada ao tribunal recorrido, afronta o princípio da lealdade processual que deve ser observado por todos os sujeitos processuais” ([8]).

Improcede, por isso, por manifesta impossibilidade processual de conhecimento, esta questão.

É assim quanto à forma, mas também quanto ao mérito:

Quanto à manifesta insuficiência de indícios,

18. Ainda que pudesse dizer-se – e não pode – que o Tribunal deveria oficiosamente ter antecipado que o Arguido poderia ter síndrome de Asperger, porventura com fundamento no esboço de sintomas apresentado em recurso, a verdade é que tal sempre teria de decorrer dos autos, da defesa ou da audiência.

É o que resulta, desde logo, do disposto no artigo 351.º, n.º 1, do CPP, que exige que “se suscite fundadamente a questão da inimputabilidade do arguido”.

Por outras palavras, neste caso nas palavras desse Venerando Tribunal, “a questão deve ser colocada com base em factos concretos (que são “os fundamentos”) atinentes ao comportamento do arguido que fazem nascer uma dúvida plausível sobre a capacidade de o arguido entender e querer a sua própria conduta» […]” ([9]).

É preciso que haja factos. Elementos nos autos.

E isto, importa sublinhá-lo, quando a questão incida sobre a imputabilidade global do Arguido – leia-se, sobre a respectiva capacidade de perceber e querer a sua conduta –, já que, como resulta do n.º 2 do mesmo preceito, essa obrigatoriedade converte-se em poder do Tribunal quando esteja em causa, como o Arguido alega em recurso, a sua imputabilidade diminuída.

Nestes casos, como assinala PAULO PINTO DE ALBUQUERQUE, “se essa dúvida se reporta à capacidade diminuída do arguido entender e querer a sua conduta, situação é menos grave e, por isso, a lei não impõe a realização de uma perícia, antes confere ao tribunal o poder […] de a ordenar quando ela seja “necessária” para a descoberta da verdade” ([10]).

Mas mesmo para o Tribunal poder ordená-lo, é necessário que existam indícios.

19. Ora, não é de mais repeti-lo, a questão não foi suscitada, fundada ou infundadamente, pela defesa.

Também não surgiu em audiência.

E não resulta dos autos.

20. Como se viu, as únicas menções a “Asperger” que constam dos autos foram feitas pelo próprio Arguido, nas circunstâncias e no contexto que acima se descreveu.

De resto, não há uma única referência subscrita por um médico, por um advogado ou por qualquer outra pessoa ou entidade a afirmar ou alegar essa questão.

E até ao presente recurso nunca foi tema controvertido. E o Tribunal não tinha como adivinhá-lo.

21. Mais: diríamos, aliás, que, não só não existiam indícios desse facto durante o julgamento, como existia contraprova bastante.

Por exemplo, a fls. 1319 dos autos consta o Relatório Clínico n.º ..., elaborado pela Senhora Dra. GG, Psicóloga, de onde resulta que o Arguido era acompanhado em consultas semanais há 3 meses, sem que a questão da sua eventual imputabilidade diminuída tenha sido sequer aflorada.

Ao invés, o que daí se extrai é que o Arguido “tem apresentado uma postura colaborante e adequada” e que “com a evolução da relação terapêutica tem sido possível observar uma gradual exteriorização de emoções e cognições em torno das suas vivências”.

Também do Relatório Social, a fls. 1961 a 1963, não resulta qualquer indício de o Arguido padecer de síndrome de Asperger.

Da avaliação clínica feita ao Arguido resultou apenas que o mesmo padeceria de transtorno do déficit de atenção e hiperatividade (TDAH) – o que, para além de ser absolutamente irrelevante para a questão da sua imputabilidade, oferece uma explicação alternativa à do recurso para o seu insucesso escolar, tal como, aliás, o consumo de estupefacientes referido no ponto 308 da matéria de facto.

Mesmo no documento agora junto pelo Arguido, de forma manifestamente intempestiva, não resulta qualquer elemento que o indicie.

Portanto, não deveria, nem poderia, o Tribunal suscitar esta questão, quando nada apontava nesse sentido.

Também por este motivo, a decisão recorrida não merece reparo.

III.

A não aplicação do Regime Especial Aplicável a Jovens Delinquentes

22. Insurge-se agora o Arguido por não lhe ter sido aplicado (novamente) o Regime Especial previsto no Decreto-Lei n.º 401/82, de 23 de Setembro.

A argumentação expendida é, no essencial, idêntica à anterior, já que faz assentar grande parte dos fundamentos dessa pretensão numa não-demonstrada e recém-invocada patologia do foro psiquiátrico e dela faz depender a procedência também deste argumento.

Por esse motivo, o que acima se disse vale inteiramente para desconsiderar este ponto.

23. Por outro lado, e ainda antes de entrarmos no mérito, já se referiu que não existe nulidade, porque a lei não a prevê, resultante da não aplicação fundamentada do Regime Especial Aplicável a Jovens Delinquentes.

O que o Arguido vem alegar, em rigor, é a sua discordância perante a solução de direito dada pelo Tribunal à questão da aplicação daquele regime.

O modo como o faz, contudo, requerendo a anulação do acórdão e o envio dos autos à primeira instância, preclude sequer a ponderação do mérito da questão e a eventual aplicação, em recurso, daquele regime, já que não é assim que conforma a sua pretensão.

Mas ainda que fosse, o Arguido não tem razão.

24. A aplicação do artigo 4.º do Regime Especial Aplicável a Jovens Delinquentes depende de o Tribunal ter “sérias razões para crer que da atenuação resultem vantagens para a reinserção social do jovem condenado”.

Como vem sustentando o Supremo Tribunal de Justiça, “a avaliação das vantagens da atenuação especial para a reinserção do jovem tem de ser equacionada perante as circunstâncias concretas do caso e do percurso de vida do arguido, e não por considerações abstractas desligadas da realidade” ([11]).

São, portanto, essencialmente razões de prevenção especial que justificam a aplicação desta atenuação especial da pena.

Ora, os factos dados como provados e os que rodeiam a prática dos ilícitos em causa, sugerem exactamente que não existem quaisquer vantagens na atenuação especial da pena, especialmente para a reinserção social do Arguido.

Vamos aos factos,

25. Em 23 de Abril de 2021, no processo n.º 309/14…, o Arguido foi condenado por crimes informáticos de idêntica natureza aos que aqui se discutem.

Nesse processo, o Arguido beneficiou do Regime Especial Aplicável a Jovens Delinquentes.

Enquanto decorria aquele processo, o Arguido cometeu 28 crimes contra pelo menos 9 entidades distintas durante cerca de 10 meses.

Durante esse período, o Arguido expôs os nomes e emails de colaboradores de cerca de 86 (oitenta e seis) entidades públicas e privadas, e respectivas credenciais de acesso em fonte aberta na Internet.

Quando a medida de coacção de prisão preventiva aplicada neste processo foi substituída pela de obrigação de permanência na habitação, o Arguido não só se vangloriou desse facto, colocando uma fotografia da pulseira electrónica nas redes sociais – o que mereceu o reparo do M.mo Juiz de Instrução no seu segundo interrogatório judicial –, como voltou a praticar crimes informáticos, um dos quais contra o Ministério da Saúde.

O Arguido, como resulta do seu recurso, vê-se como um activista, pese embora não tenha nenhuma causa, e tem aspirações a ser recompensado pelos seus ataques informáticos, seja profissionalmente, seja através do reconhecimento daqueles que vê como seus pares.

Para além de se vangloriar nas redes sobre os seus ataques, o Arguido deu entrevistas à comunicação social sobre os mesmos ([12]).

Em momento algum exibiu qualquer sinal de arrependimento sobre os seus actos. Nem quando falou, nem, claro está, quando se remeteu ao silêncio.

O único vislumbre de trajecto de ressocialização caminhado pelo Arguido ocorreu durante o seu segundo período de reclusão, com o ingresso no curso Curso EFA B3, em que revela ter começado a investir num ofício de onde poderá vir a resultar uma remuneração lícita no seu futuro.

Até então, o Arguido revelava apenas um histórico de absentismo escolar, consumo de canabinóides e instabilidade laboral.

26. Destas circunstâncias, e das restantes referidas no acórdão condenatório, impõe‑se concluir que se há caso em que não existem razões para crer que a atenuação especial da pena produzirá vantagens para a reinserção social do Arguido é precisamente este.

Aliás, a menos que o Arguido responda efectivamente pelos factos aqui praticados, e tenha oportunidade de continuar o seu processo de ressocialização em reclusão, o seu caminho natural será o da reincidência.

Importa, por isso, manter a decisão recorrida nos seus exactos termos.

Nestes termos, e nos demais de Direito que V. ex.ª doutamente suprirá, deverá o recurso interposto pelo Arguido ser declarado integralmente improcedente, mantendo-se integralmente a decisão recorrida.»

6. Apesar da interposição do recurso para o Tribunal da Relação, no Tribunal Judicial da Comarca de Lisboa (Juízo Central Criminal de Lisboa, Juiz 12) foi prolatado despacho a 21.04.2022 nos seguintes termos:

«Pese embora a indicação feita pelo arguido/recorrente quanto ao tribunal ad quem, constata-se que o recurso em apreço visa exclusivamente o reexame de matéria de direito, pelo que, tendo aquele sido condenado na pena (única) de 6 anos de prisão, é competente para apreciação do recurso o Supremo Tribunal de Justiça [cfr. artigo 432.º, n.º 1, al. c), do Código de Processo Penal], em consonância, aliás, com a sua jurisprudência uniformizadora (cfr. Acórdão n.º 5/2017, in DR n.º 120/2017, Série I, de 26.06.2017).

Assim, subam os autos ao Supremo Tribunal de Justiça.»

7. No Supremo Tribunal de Justiça, a Senhora Procuradora-Geral Adjunta proferiu parecer no sentido da improcedência do recurso considerando que:

«(...) I - DA NÃO REALIZAÇÃO DE EXAME PERICIAL PSIQUIATRICO AO ARGUIDO

A decisão de indeferimento do requerimento da perícia sobre o estado psíquico do arguido, é recorrível, subindo o recurso em separado, de imediato e com efeito suspensivo do processo (artigos 406º n º 2, 407º nº 2, al. j, e 408º nº 3, primeira parte, todos do CPP).

Nos autos, foi indeferido o requerimento apresentado em momento prévio ao julgamento e não foi apresentado recurso. O certo é que o julgamento decorreu sem que tal questão fosse de novo suscitada e sem que o Tribunal tivesse fundamentos para duvidar do estado psíquico do arguido, que optou por se manter em silêncio.

Sufragamos o entendimento do Ministério Público em primeira instância, quando fundamenta e argumenta: [segue-se transcrição]

II - DA NÃO APLICAÇÃO DO REGIME ESPECIAL DO DL 401/82, DE 23/09

Nos termos estatuídos no artº 9º do Código Penal (CP), “Aos maiores de 16 anos e menores de 21 são aplicáveis normas fixadas em lei especial”.

A lei especial em causa a que devemos atender, subsume-se ao D.L. 401/82, de 23/ 09.

Como pressuposto de aplicação do citado diploma legal, há que atender ao que ali se determina, a saber:

a) Aplica-se a jovens que tenham cometido um facto qualificado como crime (artº 1º, nº 1);

b) É considerado jovem para tal efeito o agente que à data da prática do crime, tiver completado 16 anos sem ainda ter atingido os 21 anos (nº 2);

c) Não é aplicável a jovens inimputáveis em virtude de anomalia psíquica (nº 3);

d) Se for aplicada pena de prisão será atenuada especialmente a pena, nos termos dos ats.73º e 74º, se houver sérias razões para crer que daí resultam vantagens para a reinserção social do jovem (art.º 4º)

Daqui se infere, que o regime especial em causa não tem aplicação automática. Não basta que o jovem delinquente seja imputável e tenha idade entre os 16 e 21 anos no momento da prática do facto. É necessário que, cumulativamente, se tenha estabelecido positivamente que há sérias razões para crer que da atenuação especial da pena resultam vantagens para a reinserção social do jovem. Se não se estabelecerem essas razões sérias não poderá o jovem beneficiar da faculdade estabelecida no artº 4º do DL 401/82, de 23/09.

Tem sido esta a Jurisprudência, praticamente uniforme do Supremo Tribunal de Justiça.

Atente-se nas doutas palavras vertidas no Ac. do STJ de 90/10/31, AJ 12, proc.nº 41181: [segue transcrição]

E ainda no Ac. do STJ de 94/10/19, proc.47022: [segue-se transcrição]

Mais,

Ac. do STJ de 97/11/13, proc.nº 667/97: [segue-se transcrição]

E, finalmente, como decidiu o Supremo Tribunal de Justiça (STJ), por exemplo no Acórdão de 21/10/2004, publicado na CJ (STJ), 2004, Tomo III, pág. 193, “a atenuação especial prevista no DL n.º 401/82 não opera automaticamente em função da idade do arguido, antes tem de emergir de um julgamento do caso concreto que incuta na convicção do Juiz a crença em sérias razões de que para o arguido resultam vantagens para a sua reinserção”. O que vale por dizer, que este regime especial não deve ser aplicado quando houver sérias razões para crer que a sua aplicação não vai facilitar a ressocialização do jovem delinquente.

No caso concreto destes autos entendemos não se reunirem razões sérias para acreditar que a atenuação especial da pena fixada ao arguido HH, iria facilitar a sua ressocialização.

O Tribunal “a quo” explicitou as razões pelas quais concluiu ser de afastar a aplicação, ao ora recorrente, daquele regime especial: [segue-se transcrição]

Neste contexto, assume particular relevância a personalidade do Recorrente e as suas condições pessoais, sociais e económicas, que são analisadas no acórdão recorrido.

Como bem salienta o Ministério Público de Primeira Instância,

” o percurso de vida e social do arguido não favorece a aplicação do regime penal para jovens. A atitude do arguido não foi determinada nem influenciada por problemas de inserção social ou de formação da personalidade, pelo que não faz sentido aplicar um regime que procura incentivar a “reinserção social” ou “reeducação” do delinquente, não sendo possível formular um juízo de prognose favorável no sentido da aplicação de tal regime resultarem vantagens.

Com efeito, a leitura da fundamentação ínsita no acórdão recorrido revela não terem sido considerações de ilicitude e de culpa, ou de ausência de diminuição acentuada da ilicitude e da culpa que determinaram a recusa da aplicação da atenuação especial mas sim razões que se prendem com a demonstração da vantagem da atenuação para a ressocialização, tendo o Tribunal considerado a personalidade global do arguido, que não apenas o comportamento referente aos factos e o mantido em julgamento, mas também o comportamento anterior e posterior, que se afiguraram relevantes.

Por tudo o exposto, está fundamentada a não admissibilidade de aplicação do regime especial para jovens delinquentes, previsto no DL 401/82, de 23/09, ao arguido recorrente.

DAS PENAS APLICADAS AO RECORRENTE.

O tribunal “a quo” ponderou todos os fatores suscetíveis de, in casu, determinar quais as concretas necessidades de prevenção que se fazem sentir e a culpa manifestada nos atos pelo agente.

“Conforme bem se compreende, os factos que o tribunal der como provados sobre a personalidade do agente do crime, os seus antecedentes criminais, o seu percurso de vida e inserção social, assumem-se como relevantíssimos para a operação de determinação das penas concretas, pois será a partir deles que se formulam os juízos de necessidade de prevenção especial, bem como, convém referir, a determinação da própria medida da culpa (entendida como o grau de exigibilidade da conduta conforme ao Direito”.

O Tribunal in casu graduou, e bem, a medida da pena aplicada, ponderando todos os elementos e as circunstâncias enunciadas no douto acórdão sob recurso, designadamente, o grau de ilicitude e da culpa, e atendendo à moldura

O artº 71º do Código Penal estabelece os critérios de determinação da medida concreta da pena, dispondo no seu nº 1 que a determinação da medida da pena, dentro dos limites definidos na lei, é feita em função da culpa do agente e das exigências de prevenção. E o número 2 do mesmo preceito legal estatui que na determinação concreta da pena o tribunal atende a todas as circunstâncias que, não fazendo parte do tipo de crime, depuserem a favor do agente ou contra ele.

Como ensina o professor Figueiredo Dias, “Toda a pena serve finalidades exclusivas de prevenção, geral e especial. A pena concreta é limitada, no seu máximo inultrapassável, pela medida da culpa.; dentro deste limite máximo ela é determinada no interior de uma moldura de prevenção geral de integração, cujo limite superior é oferecido pelo ponto óptimo de tutela de bens jurídicos e cujo limite inferior é constituído pelas exigências mínimas de defesa do ordenamento jurídico. Dentro desta moldura de prevenção geral de integração a medida da pena é encontrada em função de exigências de prevenção especial, em regra positiva ou de socialização, excepcionalmente negativa ou de intimidação ou segurança individuais” (in Direito Penal-Questões Fundamentais - A Doutrina geral do crime – Universidade de Coimbra – Fac. de Direito, 1996, pag. 121).

Como também salienta o mesmo autor, “as penas como instrumentos de prevenção geral são instrumentos politico-criminais destinados a actuar (psiquicamente) sobre a globalidade dos membros da comunidade, afastando-os da prática de crimes através das ameaças penais estatuídas pela lei, da realidade da aplicação judicial das penas e da efectividade da sua execução, surgindo então a prevenção geral positiva ou de integração como forma de que o Estado se serve para manter e reforçar a confiança da comunidade na validade e na força da vigência das suas normas de tutela de bens jurídicos e, assim, no ordenamento jurídico-penal; como instrumento por excelência destinado a revelar perante a comunidade a inquebrantibilidade da ordem jurídica, pese todas as suas violações que tenham tido lugar” (ob. cit., pag. 84).

Atente-se no acórdão do S.T.J. de 12.11.2015, o qual refere que “as circunstâncias e critérios do artº 71º do Código Penal devem contribuir tanto para co-determinar a medida adequada à finalidade de prevenção geral (a natureza e o grau de ilicitude do facto impões maior ou menor conteúdo de prevenção geral, conforme tenham provocado maior ou menor sentimento comunitário de afectação dos valores), como para definir o nível e a premência das exigências de prevenção especial (as circunstâncias pessoais do agente, a idade, a confissão, o arrependimento), ao mesmo tempo que também transmitem indicações externas e objectivas para apreciar e avaliar a culpa do agente. As imposições de prevenção geral devem, pois, ser determinantes na fixação da medida das penas, em função da reafirmação da validade das normas e dos valores que protegem, para fortalecer as bases da coesão comunitária e para aquietação dos sentimentos afectados na perturbação difusa dos pressupostos em que assenta a normalidade da vivência do quotidiano. Porém, tais valores determinantes têm de ser coordenados, em concordância prática, com outras exigências, quer de prevenção especial de reincidência, quer para confrontar alguma responsabilidade comunitária no reencaminhamento para o direito do agente do facto, reintroduzindo o sentimento de pertença na vivência social e no respeito pela essencialidade dos valores afectados” (disponível em www.dgsi.pt).

Perante o quadro factual e jurídico descrito pela decisão recorrida, não é excessiva nem desproporcional a pena aplicada em concreto a cada crime cometido.

Pela análise do douto acórdão impugnado, todas as operações lógicas de determinação da medida da pena foram, não só respeitadas como devidamente fundamentadas, com ponderação de todos os fatores susceptíveis de, in casu, determinar quais as concretas necessidades de prevenção que se fazem sentir e a culpa manifestada nos atos pelo agente, não merecendo, por isso, em nosso entender, qualquer censura.

Recorrendo à jurisprudência do S.T.J., a propósito dos requisitos a atender na efectivação do cúmulo jurídico de penas, considere-se o acórdão de 21-11-2012 proferido no processo n.º 86/98.0GBOVR.P1.S1, da 3a Secção, in www.stj.pt , do mesmo se retira que,

A pena conjunta através da qual se pune o concurso de crimes, segundo o texto do nº 2 do artigo 77º do Código Penal, tem a sua moldura abstracta definida entre a pena mais elevada das penas parcelares e a soma de todas as penas em concurso, não podendo ultrapassar 25 anos (o que equivale por dizer que no caso em apreço, a respectiva moldura varia entre o mínimo de 2 (dois) anos e 26 (vinte e seis) anos, não podendo ultrapassar os 25 anos de prisão.

Segundo preceitua o n.º 1 daquele artigo, na medida da pena são considerados em conjunto, os factos e a personalidade do agente, o que significa que o cúmulo jurídico de penas não é uma operação aritmética de adição, nem se destina, tão só, a quantificar a pena conjunta a partir das penas parcelares cominadas. Com efeito, a lei elegeu como elementos determinadores da pena conjunta os factos e a personalidade do agente, elementos que devem ser considerados em conjunto.

Como esclareceu o autor do Projecto do Código Penal, no seio da respectiva Comissão Revisora, a razão pela qual se manda atender na determinação concreta da pena unitária, em conjunto, aos factos e à personalidade do delinquente, é de todos conhecida e reside em que o elemento aglutinador da pena aplicável aos vários crimes é, justamente, a personalidade do delinquente, a qual tem, por força das coisas, carácter unitário, de onde resulta, como ensina Jescheck, que a pena única ou conjunta deve ser encontrada a partir do conjunto dos factos e da personalidade do agente, tendo-se em atenção, em primeira linha, se os factos delituosos em concurso são expressão de uma inclinação criminosa ou apenas constituem delitos ocasionais sem relação entre si, sem esquecer a dimensão da ilicitude do conjunto dos factos e a conexão entre eles existente, bem como o efeito da pena sobre o comportamento futuro do delinquente.

Posição também defendida por Figueiredo Dias, ao referir que a pena conjunta deve ser encontrada, como se o conjunto dos factos fornecesse a gravidade do ilícito global perpetrado, sendo decisiva para a sua avaliação a conexão e o tipo de conexão que entre os factos concorrentes se verifique, relevando, na avaliação da personalidade do agente sobretudo a questão de saber se o conjunto dos factos é reconduzível a uma tendência criminosa, ou tão só a uma pluriocasionalidade que não radica na personalidade, sem esquecer o efeito previsível da pena sobre o comportamento futuro daquele, sendo que só no caso de tendência criminosa se deverá atribuir à pluriocasionalidade de crimes um efeito agravante dentro da moldura da pena conjunta.

Adverte, no entanto, que, em princípio, os factores de determinação da medida das penas singulares não podem voltar a ser considerados na medida da pena conjunta (dupla valoração), muito embora, «aquilo que à primeira vista possa parecer o mesmo factor concreto, verdadeiramente não o será consoante seja referido a um dos factos singulares ou ao conjunto deles: nesta medida não haverá razão para invocar a proibição de dupla valoração».

Daqui que se deva concluir, como concluímos, que com a fixação da pena conjunta se pretende sancionar o agente, não só pelos factos individualmente considerados, mas também e especialmente pelo respectivo conjunto, não como mero somatório de factos criminosos, mas enquanto revelador da dimensão e gravidade global do comportamento delituoso do agente, visto que a lei manda se considere e pondere, em conjunto, (e não unitariamente) os factos e a personalidade do agente.

Como doutamente diz Figueiredo Dias, como se o conjunto dos factos fornecesse a gravidade do ilícito global perpetrado.

Importante na determinação concreta da pena conjunta será, pois, a averiguação sobre se ocorre ou não ligação ou conexão entre os factos em concurso, bem como a indagação da natureza ou tipo de relação entre os factos, sem esquecer o número, a natureza e gravidade dos crimes praticados e das penas aplicadas, tudo ponderando em conjunto com a personalidade do agente referenciada aos factos, tendo em vista a obtenção de uma visão unitária do conjunto dos factos, que permita aferir se o ilícito global é ou não produto de tendência criminosa do agente, bem como fixar a medida concreta da pena dentro da moldura penal do concurso, tendo presente o efeito dissuasor e ressocializador que essa pena irá exercer sobre aquele.

Afigura-se-nos que o Acórdão proferido nos autos não suscita reparo, cumprindo as exigências legais. Acresce dizer que a fundamentação da decisão deve ser vista na sua globalidade, e não segmento a segmento. Neste sentido, a decisão recorrida cumpre os requisitos legalmente exigidos de fundamentação, não a afectando qualquer nulidade, irregularidade ou inconstitucionalidade.

Foi decretada a pena de prisão efetiva de 6 (seis) ao arguido, que é justa, adequada e necessária aos crimes cometidos e à personalidade evidenciada por aquele, pelo que o Tribunal a quo, ao aplicar tal pena, não violou qualquer disposição legal

O Ministério Público respondeu ao recurso e as questões suscitadas no recurso foram adequada e sustentadamente analisadas e rebatidas pelo Ministério Público de Primeira Instância e que aqui se dão por reproduzidas.

Sufragamos os argumentos constantes da resposta ao recurso que se encontram devidamente desenvolvidos e adequadamente sustentados, quer de facto quer de direito, e por merecerem o nosso acolhimento, nos dispensam, por desnecessário e redundante, do aditamento de mais desenvolvidos considerandos.»

8.1. O arguido foi notificado ao abrigo do art. 417.º, n.º 2, do CPP, e nada respondeu.

8.2. Notificados as assistentes, responderam nos seguintes termos:

«1. As Recorridas concordam integralmente com os pareceres apresentados pelo Ministério Público, quer em primeira instância, quer junto do Supremo Tribunal de Justiça, e que, de resto, estão em linha com o que foi a resposta pelas mesmas apresentada ao recurso do Arguido.

Os pareceres, em particular aquele a que ora se responde, pugna, justamente e de forma bem fundamentada, pela manutenção do acórdão recorrido, aliás, também ele irrepreensível.

Dito isto,

2. A resposta ao recurso apresentada pelas Assistentes, terminava, a propósito da (correcta) não aplicação do artigo 4.º do Regime Especial Aplicável a Jovens Delinquentes, do seguinte modo:

26. Destas circunstâncias, e das restantes referidas no acórdão condenatório, impõe-se concluir que se há caso em que não existem razões para crer que a atenuação especial da pena produzirá vantagens para a reinserção social do Arguido é precisamente este.

Aliás, a menos que o Arguido responda efectivamente pelos factos aqui praticados, e tenha oportunidade de continuar o seu processo de ressocialização em reclusão, o seu caminho natural será o da reincidência.

Importa, por isso, manter a decisão recorrida nos seus exactos termos.”

Desde a submissão da sua resposta ao recurso, no dia 21 de Abril, confirmou‑se o que as Assistentes antecipavam.

O Arguido, cerca de 4 meses após ser colocado em liberdade, voltou a praticar ataques informáticos, voltou a vangloriar-se desses ataques, e voltou a comentá-los abertamente no seu Twitter e, inclusivamente, em declarações prestadas a canais de televisão.

São factos supervenientes, é certo, mas o que se discute quando se fala de prevenção é precisamente o futuro. Simplesmente, neste caso, o futuro fez-se, de imediato, presente, e o Arguido nem sequer esperou pela decisão d Supremo Tribunal de Justiça antes de voltar à prática criminosa.

4. Além do mais, são factos públicos e notórios, que não podem deixar de ser comunicados a V. Ex.as, nem de ser por V. Ex.as conhecidos, porque revelam o que já resultava evidente em julgamento: o Arguido não vai parar a sua actividade criminosa enquanto estiver em liberdade e, por isso mesmo, não existe qualquer fundamento para a aplicação da atenuação da pena prevista no Regime Especial Aplicável a Jovens Delinquentes.

Basta ver, aliás, as declarações do Arguido à … Portugal ([13]), para s compreender que o mesmo, não só deseja a visibilidade que os seus ataques informáticos lhe dão, como demonstra todos os sinais de que não irá parar:

Uma imagem com texto, monitor, captura de ecrã, prateado

Descrição gerada automaticamente

                                   

5. De resto, uma visita ao perfil do Twitter do Arguido revela, a cada semana que passa, um novo ataque informático.

Foi assim a 29 de Abril, com o anúncio de um novo ataque informático à Universidade ... ([14]):

Foi assim no dia 1 de Maio de 2022, com o ataque à Universidade…, no Brasil, que também anunciou no seu Twitter ([15]):

Uma imagem com texto

Descrição gerada automaticamente

Na mesma data anunciou ter realizado outro ataque informático à Universidade … ([16]):
Uma imagem com texto

Descrição gerada automaticamente

Foi assim a 3 de Maio de 2022, com novo ataque ao Ministério … ([17]):

Uma imagem com texto

Descrição gerada automaticamente

E novamente a 12 de Maio de 2022 ([18]):
Uma imagem com texto

Descrição gerada automaticamente

E ainda, no dia 21 de Maio de 2022, à Câmara Municipal … ([19]):

Uma imagem com texto

Descrição gerada automaticamente

6. Outros ataques informáticos surgirão, certamente, até à decisão final a proferir no âmbito do presente recurso, a menos, claro, que o Arguido venha novamente a ser submetido a medida de coacção idónea.

Perante o cenário que se apresenta, e que resultava já da conduta passada do Arguido, parece evidente que não se encontram minimamente reunidos os pressupostos para aplicação do artigo 4.º do Regime Especial Aplicável a Jovens Delinquentes.

Tendo em conta a absoluta falta de sustento do único outro argumento esboçado pelo Arguido no seu recurso, resulta evidente a sua total improcedência.

Nestes termos, e nos demais de direito aplicáveis, deverá ser confirmada a decisão recorrida, concluindo-se pela total improcedência do recurso do Arguido.»

9. Colhidos os vistos em simultâneo, e não tendo sido requerida a audiência de discussão e julgamento, o processo foi presente à conferência para decisão.

II

Fundamentação


A. Matéria de facto

Na decisão recorrida, são dados como provados os seguintes factos:

«1. A Cyber... é a autodenominação atribuída a um grupo de indivíduos que, actuando de forma isolada ou juntamente com outro ou outros, se dedica à prática de actividades relacionadas com a exploração de vulnerabilidades de sites (intervenções maliciosas de cibersegurança), de entidades públicas e privadas portuguesas e, bem assim, estrangeiras, com o objectivo de aceder, sem qualquer autorização dos seus titulares, aos mesmos, para posterior exfiltração e divulgação do seu conteúdo.

2. Para o efeito, os referidos indivíduos usam um tipo de ataque conhecido como DDOS (Distributed Denial of Service), através do qual um servidor, serviço ou infraestrutura se torna indisponível por via de uma sobrecarga da largura de banda do servidor, ou pelo esgotamento dos recursos do sistema da máquina, impedindo-a de responder ao tráfego ilegítimo.

3. Mas também recorrem à técnica de Defacement of Web Sites, que se traduz em ataques realizados com o objectivo de modificar ou danificar o conteúdo ou estética da página de um site da internet, com o intuito de degradar ou desmoralizar as informações transmitidas.

4. Para além desses, utilizam o tipo de ataque por SQL-Injection, através do qual fazem a exploração de vulnerabilidades dos sites visados de forma a encontrar uma abertura para entrar no mesmo, sem autorização.

5. Neste último tipo de ataque, é introduzido um código SQL, que consiste num tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados através de comandos SQL, onde o autor consegue inserir uma instrução SQL personalizada e indevida dentro de uma consulta (SQL query) através da entrada de dados de uma aplicação, como formulários ou URL.

6. A sua utilização permite obter dados confidenciais a partir de bases de dados residentes num sistema informático servidor e, dependendo da versão da base de dados, também é possível inserir comandos maliciosos e conseguir permissão total do sistema operativo de um dado sistema informático.

7. Usam, ainda, o recurso a webshells, que é uma interface que se assemelha a uma shell do sistema operativo e que pode ser desenvolvido numa qualquer linguagem suportada pelo servidor, que permite o acesso e controlo remoto desse mesmo servidor.

8. Estas webshells são usadas para executar comandos, carregar, descarregar, apagar ou executar ficheiros, permitindo escalar privilégios num determinado sistema informático e a ele manter um acesso persistente, após exploração de vulnerabilidades.

9. A Cyber... assume actividade desde 2011, mas assumiu um impulso renovador a partir de Setembro de 2019, reivindicando os seus “ataques” nas redes sociais, através de fotografias, capturas de ecrã ou outros meios.

10. A reivindicação desses “ataques” surge em perfis de membros desse grupo, como é o caso de @Null… ou @Null…, que usa os perfis https://twitter.com/Null... (...68) e https://twitter.com/Null... (...26) na rede social Twitter, ou https://www.instagram.com/null..., na rede social Instagram.

11. Ou em perfis que assumem a denominação do próprio conjunto, como @_Cyber…, @cyber…, @c…, @Cyber… e @Cyber…, todos da rede social Twitter, indisponíveis na presente data por violação das regras dessa rede social; e @Cyber…, esta última acessível em https://twitter.com/C... e com o ...94.

12. E ainda da rede social Facebook, como é o caso do perfil com a denominação Cyber…, com o ID ...09, e acessível através do endereço www.facebook.com/cyber... (registado em 15. 12.2015 às 00:32:59, e com o “…” name cyber…, criado em 19.10.2019, às 11:15:45 UTC14).

13. A sua presença assume predominância em datas representativas de acontecimentos emblemáticos no mundo “hacker” ou de eventos nacionais significativos, disso sendo exemplo as missões levadas a cabo durante o…Abril, em anos pretéritos – como a operação ...Abril “II”.

14. No ano de 2020, a Cyber… lançou mão das operações #OP…March e #II, pelas quais foi delineada pelos seus membros a actividade de exploração de vulnerabilidades para acesso a sites de entidades públicas e privadas, nacionais e estrangeiras, sem autorização, em razão de protesto, com exfiltração de dados.

15. No decurso daquilo a que os membros da Cyber… apelidaram de #II, foram divulgados nos perfis associados de Twitter e Facebook (@Cyber… e Cyber…, respectivamente) ataques informáticos a várias estruturas de entidades nacionais e estrangeiras, públicas e privadas, em número de 86 (oitenta e seis).

16. As referidas bases de dados foram publicadas no site … e …, e contavam com elementos exfiltrados do Ministério ..., PN… - Computação Científica …, Universidade…, Direcção-Geral…, Direcção-Geral…, entre outras, provenientes de vários leaks anteriores.

17. A Cyber... assume membros por todo o mundo, pelo que tem denominações específicas consoante a localização a que está afecta – Cyber..., Cyber..., ou simplesmente Cyber..., Cyber..., ou ainda outros.

18. Os membros deste grupo Cyber... ocultam-se através de nomes fictícios de perfis de redes sociais, disso sendo exemplo, os seguintes: DD, JJ, KK_, LL, EE, MM, NN, OO, PP, QQ, RR, SS, TT, UU, VV, WW, XX, YY, ZZ, AAA, BBB, CCC, DDD, EEE, FFF, GGG, HHH, III, JJJ, KKK, LLL, MMM, NNN, OOO, PPP, QQQ, RRR, SSS, TTT, UUU, VVV, WWW, XXX, YYY, ZZZ, AAAA, BBBB, CCCC, DDDD, EEEE, FFFF, GGGG; HHHH, entre outros.

19. Sendo certo que, de entre estes, assumem predominância para os factos que infra se descrevem, “DD”, “JJ”, “TT”, “EEEE” e “FFFF”.

20. O arguido AA é utilizador do nickname “DD”, assumindo-se nas redes sociais com diversas variações do mesmo acrónimo, como é o caso de “IIII”, “@DD…” e “@DD…”.

21.  Utiliza o perfil de Facebook com o endereço

https://www.facebook.com/DD... (registado em 25.12.2015, às 00:32:59) e o nome @DD.… no perfil de Twitter https://twitter.com/DD ..., com o ...36, e, bem assim, o perfil @JJJJ na rede Instagram, acessível pelo endereço

https://www.instagram.com/IIII (criado em 17.08.2016, às 19:33:54 UTC) e com o ID ...30.

22. Pelo menos no período compreendido entre 1 de Janeiro e 29 de Abril de 2020, o arguido AA residiu em períodos de 15 dias, alternados, quer no Bairro ..., na Rua ..., ..., ..., que corresponde à residência de sua mãe, avó materna e irmão, quer na Rua ..., ..., que corresponde ao domicílio do seu pai.

23. E no período entre 18 de Maio de 2020 e 28 de Novembro de 2020, ficou sujeito ao cumprimento da medida de coacção de obrigação de permanência na habitação, com vigilância electrónica, à ordem destes autos, que cumpriu no Bairro ..., Rua ..., ..., ....

24. O arguido é o fundador/criador da Cyber... (Portugal).

25. O arguido autodenomina-se de “hacker”, termo associado à realização de práticas ilícitas na área da cibernética e relaciona-se, por vezes, nas redes sociais, ao grupo Cyber..., que desenvolve o que se denomina por KKKK, ou seja, acções levadas a cabo em colectivo ou individualmente, como forma de protesto político, alcançadas através de invasão cibernética e de incitação à desobediência civil, geralmente através de defacement (que são ataques realizados por defacers para modificar a página de um site na internet).

26. O arguido AA, no período compreendido entre Janeiro e Outubro de 2020, dedicou-se à actividade de “exploração de vulnerabilidades de sites” de entidades públicas e privadas portuguesas, individualmente ou em nome e representação da Cyber... (Portugal), actuando de forma isolada ou em conluio com outros indivíduos, não concretamente identificados, nas denominadas operações #LLLL e #II.

27. Fê-lo, sobretudo, através do serviço de internet disponibilizado por router wireless da operadora M…, contratualizado entre a prestadora de serviços A… e MMMM, avó materna do arguido, para a morada sita no Bairro ..., Rua ..., ..., ....

28. E também por recurso à rede de internet de vizinhos, ou de terceiros, dos quais obteve as credenciais de acesso a essa rede, fazendo-o sem solicitar qualquer autorização para o efeito.

29. Para desenvolver a sua actividade recorreu a programas de anonimização e a programas que permitem aceder a outros equipamentos, através de rede local ou internet, recorrendo a protocolos de comunicação normalmente associados à administração de sistemas – “Secure Shell Protocol” (SSH) e “Remote Oesktop Protocol” (ROP) –, o que possibilita a utilização de IP´s de terceiros, totalmente alheios aos factos e ao seu uso.

30. E, bem assim, ao Tor Browser, navegador de internet que possui mecanismos de anonimização, que permitem ocultar a real identidade do utilizador.

31. Com vista aos referidos acessos, o arguido AA utilizou os dispositivos electrónicos que tinha à sua disposição, como o computador portátil modelo ... (que possui o ...), o computador portátil ..., com a referência ..., o computador ..., com a referência ...99, o telemóvel smartphone, marca ..., modelo ..., com o NNNN ...30, que funcionava com o número ...31, e o telemóvel, modelo ..., dual sim, com o IMEI ...28.

32. Este último aparelho – telemóvel modelo ..., dual sim, com o IMEI ...28 – foi utilizado para a prática dos factos que infra se descrevem, ocorridos a partir de 18 de Maio de 2020, no qual o arguido instalou o programa denominado Termux que permite criar, num equipamento móvel, um ambiente através de interface de linha de comandos, em tudo semelhante ao disponibilizado por um computador.

33. O programa Termux, na versão 0.83, é um emulador de terminal, para sistemas operativos Android, que permite executar operações, em ambiente de linha de comandos, nativamente associadas a sistemas operativos Linux.

34. Em nome e em representação da Cyber..., ou individualmente, o arguido conduziu acções de ataque por SQL-Injection e defacement sobre vários sites, acedeu, sem qualquer autorização, a sistemas informáticos alheios, carregou para tais sistemas programas maliciosos, gravou imagens das referidas entradas não autorizadas e publicou-as em redes sociais, reivindicando tais ataques, para captar a atenção de outros indivíduos do mundo hacker, de cariz internacional.

35. O arguido assume conhecimentos de informática acima da média, na óptica de um utilizador, que lhe permitem utilizar programas de anonimização de navegação, bem como de automatização do processo de análise e exploração de vulnerabilidades em sistemas que utilizem a linguagem SQL (Structured Query Language).

36. Nos factos infra descritos, o arguido AA executou o programa SQL-Map, que consiste numa ferramenta de testes de penetração e exploração de vulnerabilidades a sistemas de gestão de bases de dados (SGBD).

37. Esta ferramenta, de código aberto, automatiza o processo de injecção de código em linguagem SQL, enviando sequencialmente várias instruções a um sistema de gestão de bases de dados, no sentido de aferir a existência e consequente exploração de vulnerabilidades desta natureza.

38. Pelo menos a partir de 18 de Maio de 2020, o arguido AA utilizou o programa SQL-Map, para os ataques por SQL-Injection, tendo usado uma versão mais afinada, face à versão padrão, por forma a elevar a capacidade de testagem, bem como a introdução de mecanismos que ofuscam a real identificação do programa que realizou o acesso aos websites.

39. Actuou sozinho ou com outros indivíduos, pertencentes à Cyber..., como o TT, OOOO e FFFF, após delinearem toda a operação de ataque informático às entidades visadas, repartindo tarefas, ou aderindo ao plano traçado em momento posterior.

Designadamente:

APAF - Associação Portuguesa de Árbitros de Futebol (apenso 2 – NUIPC 102/20.7JGLSB)

40. Entre as 4h00 e as 10h00, do dia 19 de Janeiro de 2020, o arguido, em conjugação de esforços com um indivíduo de identidade não concretamente apurada, e que apenas se conhece pelo seu nickname “JJ”, mas que também integra a Cyber..., obtiveram, por forma não identificada, as credenciais de acesso, compostas por username e password de um colaborador da Associação Portuguesa de Árbitros de Futebol (adiante APAF).

41. Tais credenciais habilitavam o seu possuidor a publicar notícias e outros documentos de conhecimento público no site com o endereço ....

42. Na posse das referidas credenciais de colaborador, o arguido introduziu-as no espaço próprio e, com as mesmas, obteve acesso ao sistema informático da APAF, em conjugação de esforços com o referido indivíduo, e criou uma nova conta de utilizador na lista de contas de publicador, com a denominação Cyber....

43. Foi através desta conta, criada sem qualquer autorização ou conhecimento por parte da APAF, que o arguido, em conjugação de esforços com o aludido “JJ”, e fazendo uso dos IP’s …51,  ….23 e …..25, de forma anonimizada, publicou uma imagem de PPPP, conhecido mediaticamente por ser o protagonista do “...” nas várias janelas do site:

44. Tal imagem surgia com os dizeres «...@Cyber...», que significa “also known as Cyber...”, ou «também conhecido por Cyber...», neste contexto, referindo-se à autoria da publicação da imagem alusiva a PPPP, como forma de protesto pela sua privação de liberdade.

45. Para além dessa publicação, podia ler-se o seguinte texto: «Associação Portuguesa de Árbitros de Futebol Hacked by Cyber..., Hacked by DD "Os suspeitos do costume" -#portugalpowerhacking" (...) eia/mente levantei o cartão verde para todo o futebol português e, exclusivamente, afirmo "Foda-se o Fut (...) tuga/ está a fazer para combater a corrupção na indústria do futebo/?Nada?Portugal está a investigar a corrupção revelada atra (...)osta curta é não. As autoridades portuguesas sublinham que não podem usar as revelações do ..., uma vez que consider (...) te. Quando o enquadramento legal não é suficientemente bom para combater a corrupção, é hora de Portugal pensar se a legislação (...) terada. É hora de Portugal se desenvolver " #Cyber... #QQQQ#RRRR #SSSS #TTTT #UUUU #VVVV. WWWW (XXXX)(...) - YYYY - EEE - VV. ZZZZ - RR - LL - AAAAA (...) PPP - BBBBB - CCCCC - DDDDD - EEEEE - FFFFF - GGGGG - HHHHH - IIIII - EE (...) We do not invade by necessity, we invade for fun!Twitter: @Cyber... Facebook: @Cyber...».

46. No dia 19 de Janeiro de 2020, pelas 05h25, o arguido AA publicitou o ataque direccionado à APAF, no seu perfil Facebook, com uma imagem do site da APAF, com o conteúdo alterado conforme descrito.

47. Em consequência da actuação do arguido, a APAF viu a sua imagem habitual do site alterada, sem qualquer autorização, tendo ficado associada a uma mensagem de protesto pela privação de liberdade de PPPP, o que não desejou.

48. Por força disso, a APAF socorreu-se do apoio informático de empresa especializada para analisar o sucedido e retirar as imagens ali colocadas indevidamente, razão pela qual o sítio da internet da referida associação ficou sem funcionar durante 48 horas.

B..... - Futebol SAD, e B..... Estádio - Construção e Gestão de Estádjos, S.A. (apenso 1 - NUIPC 15…)

49. No dia 1 de Março de 2020, pelas 13h03, o arguido AA e outros indivíduos não identificados, mas pertencentes ao grupo Cyber..., publicaram, na rede social Twitter “@c...”, um vídeo com a legenda “Nós somos Cyber...”.

50. O vídeo divulgado tinha a duração de 29 segundos, e consistia na gravação do ecrã de um telemóvel enquanto o seu utilizador acedia a um website.

51. Do lado esquerdo do website, podia ver-se uma fotografia de JJJJJ, com a legenda “É um dever cívico de todos os portugueses lutarem contra a corrupção” e, do lado direito, a fotografia de PPPP, suspeito da prática de diversos crimes informáticos, com a legenda “Preso”, rodeada de fotografias de um conjunto de personalidades, entre as quais constava KKKKK, à data presidente do conselho de administração das assistentes, com a legenda “Livre”.

52. Abaixo dessas fotografias, constava o texto: “Mensagem:

LEGALIZE A ERVA! (a bebida é que mata?):D#peace

Não adianta ir contra o sistema, pois quem está certo certo está! Errado, e quem está errado está certo. Pare pense e você irá perceber que de fato é assim que funciona.

Quando as pessoas temem o governo, isso é tirania. Quando o governo teme as pessoas isso é liberdade.”

53. Seguido dos seguintes conjuntos identificativos: #Cyber... - #OP…March -#LLLLL - #MMMMM - #UUUU - #NNNNN - #OOOOO - #PPPPP - #QQQQQ -"RRRRR - #SSSSS - TTTTT - #UUUUU - #VVVVV - #WWWWW - #XXXXX - #RRRR - #YYYYY - #ZZZZZ - #AAAAAA #BBBBBB.

54. À medida que o vídeo revelava o conteúdo do website, tornava-se visível o nome de várias entidades, públicas e privadas, nas quais se incluía o nome “B.…” – cfr. imagem constante de fls. 1641 verso, que aqui se dá por integralmente reproduzida para todos os efeitos legais.

55. O referido vídeo foi publicado no perfil da rede social Facebook, com o nome “Cyber...” ID ...09 e acessível em ..., pelas 14h52, do dia 1 de Março de 2020.

56. E decorrido um minuto sobre essa publicação, o arguido AA publicou o mesmo vídeo no seu perfil da rede social Facebook “IIII”, com o ID ...12, acessível em https://www.facebook.com/DD...

57. Pelas 22h13, o arguido AA publicou uma imagem do website acima mencionado na sua conta de Twitter, com o nome @DD_dotsh, com a seguinte legenda: “…, ..., ... …by Cyber... - Olá, mande mensagem para mais informações, #OP…March. We are Cyber...!@...”.

58. Pelas 22h21, do dia 1 de Março de 2020, o arguido AA divulgou na rede social Twitter, em https://twitter.com/DD dotsh/status/ ...95, um vídeo de análise ao mesmo website onde constava a publicação de dados de várias entidades, parcialmente idêntico ao que fora publicado no perfil da Cyber..., com a duração de 2m07s.

59. Essa publicação, vinha acompanhada da seguinte legenda: «We are Cyber...! @c… @c… @... @e…. @Jornal.... @G… @P…. @R… @U… @L… @r… @T… @n… @l… @t… @T…@C… @t.... @t… @Jornal… @T… #OP…March”.

60. Ao aceder-se ao website, era possível encontrar uma lista de mais de 80 entidades, públicas e privadas, nacionais e internacionais, organizadas verticalmente e com uma caixa quadrangular sobre cada uma, de entre as quais: …………………

61. Ao abrir-se a caixa relativa a cada uma destas entidades, abria-se uma informação contendo endereços de correio electrónico dos colaboradores das mesmas e respectivas passwords, elementos de carácter reservado de cada uma dessas pessoas.

62. No caso do domínio “T…...org.pt”, era possível aceder à seguinte listagem, que foi publicada no link

http://zonehmirrors.org/defaced/2020/02/29/cerrito.gov.ar/cerrito.gov.ar/videoviqgilana/wp-content/ DDDDDD – cfr. imagem/quadro constante de fls. 1642 verso a 1645, que aqui se dá por integralmente reproduzida para todos os efeitos legais.

63. No caso das assistentes, ao seleccionar-se a caixa correspondente a “B.…”, abria-se automaticamente um campo de texto onde era possível encontrar credenciais de 114 colaboradores da entidade, organizadas alfabeticamente:
Uma imagem com texto, música, piano

Descrição gerada automaticamente
Uma imagem com texto, música

Descrição gerada automaticamente
Uma imagem com texto, música, piano

Descrição gerada automaticamente
Uma imagem com texto, música, piano

Descrição gerada automaticamente
Uma imagem com texto, música, piano

Descrição gerada automaticamente
64. Apesar de terem sido alvo de divu99lgação prévia não autorizada, em razão de incidentes de segurança, foram-no nesta sede, igualmente sem autorização.

65. Com efeito, nem a B..... - Futebol SAD, pessoa colectiva com o NIPC …49, nem a B..... Estádio - Construção e Gestão de Estádios, S.A., pessoa colectiva com o NIPC …78, ambas com sede no…, em …, nem os titulares das referidas credenciais, neste caso e em todos os outros mencionados, autorizaram a divulgação das mesmas.

66. A B..... Estádio - Construção e Gestão de Estádios, S.A. (adiante B..... Estádio) tem por objecto “a gestão, construção, organziação, planeamento e exploração económica de intra-estruturas desportivas, nomeadamente de estádios de futebol construídos ou a construir, incluindo a cedência de espaços para a realização de competições desportivas ou para fins comerciais, a comercialização de bilhetes para espectáculos desportivos ou outros e a exploração de publicidade naquelas intra-estruturas”.

67. No âmbito das suas funções, inclui-se o desenvolvimento da área de clientes empresariais do Grupo B.…, denominada de B..... Corporate Club.

68. O B..... Corporate Club é composto pelas empresas que anualmente alugam camarotes ou “executive seats” no….

69. Em meados de 2019, a B..... Estádio alocou à empresa i…, Lda., que usa a marca S… Apps, o desenvolvimento de uma aplicação para dispositivos móveis com sistemas operativos iOS e Android destinada aos clientes que integram o B..... Corporate Club.

70. O objectivo da aplicação, denominada App Corporate Club é, por um lado, permitir aos clientes empresariais das assistentes fazer a gestão do seu contrato, incluindo dos seus camarotes e respectivos bilhetes, e, por outro, criar uma rede que lhes permita estabelecer contactos entre si para fins de networking.

71. Adicionalmente, a B..... Estádio contratou à i…. o desenvolvimento de uma plataforma de backoffice que lhe permitisse gerir o conteúdo da aplicação, introduzindo, modificando e removendo informação de diversa natureza, como seja o calendário dos jogos, dados sobre jogadores, informação sobre os camarotes, entre outras.

72. O backoffice das aplicações B..... Corporate Club, acessível online através do endereço https://…B.…pt, e ainda numa fase experimental, disponibilizava, à data de 2 de Março de 2020, informação sobre dados de antigos jogos do B.…, horas de abertura dos camarotes, termos e condições de utilização da aplicação, lista de empresas registadas (i…, B..... e J…) e nome, cargo, número de telefone, endereço de correio electrónico, data de nascimento, número de Sócio e ID dos 11 utilizadores registados (alguns fictícios para actividade de teste).

73. Este backoffice correspondia a uma versão antiga das aplicações que não estava em uso, mantendo-se online apenas para testes.

74. Encontrava-se disponível apenas para 12 utilizadores, trabalhadores da B..... Estádio ou i.... e de um cliente para accionar o teste à plataforma: EEEEEE (EEEEEE@i.....pt), FFFFFF (FFFFFF@i.....pt), Conta da i.... (central.distribuicao@i.....pt), GGGGGG (GGGGGG@jwholding.pt), HHHHHH (HHHHHH@...B......ot), BB (BB@...B......pt), IIIIII (IIIIII@...B......pt), JJJJJJ       (JJJJJJ@...B......pt), KKKKKK (KKKKKK@...B......pt) LLLLLL (LLLLLL@B......pt),       MMMMMM (MMMMMM@..B......pt) e FFFFFF (GGGGGG@gmail.com).

75. No período compreendido entre as 16:19:56 e as 19:02:13 GMT, do dia 2 de Março de 2020, o arguido AA, usando para o efeito o IP 88.214.163.950, registado na Altice/M..., por força de contrato celebrado com MMMM, entrou na plataforma AppCorporate da B..... Estádios, sem que, para o efeito, estivesse munido de qualquer autorização.

76. Para o efeito, testou as credenciais de utilizador associadas a BB (BB@...B......pt), HHHHHH (HHHHHH@...B.….pt) e KKKKKK (KKKKKK@...B......pt), que haviam sido divulgadas em fonte aberta na internet em razão de incidentes de segurança, sem sucesso.

77. Tendo logrado tal acesso após introduzir uma password para o utilitário “BB”, composta pela inicial do seu nome e apelido “azagalo”, desta feita não por conhecer a mesma, mas por ser de dificuldade baixa.

78. BB, ... corporate do grupo …B, não autorizou o arguido AA a utilizar as suas credenciais para acesso restrito à plataforma AppCorporate.

79. O acesso na referida plataforma foi obtido às 17:24:09, e o login, após a terceira tentativa, às 17:27:00.

80. Facto, aliás, que partilhou publicamente pelas 17h27, através de post no seu perfil de Instagram “JJJJ”, com uma imagem da área reservada da plataforma backoffice e com a legenda: «CARALHO INVADI A PUTA DO B..... KKKKKKKKKKKKKKK#OP…March #Cyber... TENHO A PORRA DO B..... KKKKKKKKKKKKKKKKK que drena».

81. E pelas 17h31, na página do mesmo perfil “JJJJ” da rede social Instagram foi publicada pelo arguido outra imagem da área reservada da plataforma, com a legenda: «FODA-SE O FUTEBOL KKKKKKKKKKKKKKKKKKKKK PAPO RETO KKKKKK'; seguida de “B..... Hacked by Cyber... ... NNNNNN (so rir kkkk) #OP…March”.

82. Para além da partilha pública nas redes sociais sobre o que acabara de concretizar, o arguido AA partilhou a ligação do backoffice da AppCorporate através do chat da plataforma de comunicação Discord, usando um bot para o efeito, a fim de trocar informação com os outros indivíduos que, com ele, conjugaram esforços para explorar o conteúdo deste backoffice.

83. Para o acesso não autorizado à plataforma AppCorporate foi, ainda, usado o IP …81, com o primeiro acesso às 17:37:37 e login, após a terceira tentativa, às 17:40:14, com domínio no ISP Talk Talk, do….

84. O IP …03, com o primeiro acesso às 17:42:02 e login, após nona tentativa, às 17:44:29, com domínio no operador de comunicações HostRoyale Technologies Pvt Ltd, servidor de Portugal, pese embora a empresa seja indiana.

85. E IP …00, com o primeiro acesso às 17:49:52 e login, após a primeira tentativa, às 17h50, com domínio em servidor brasileiro.

86. Após acesso à referida plataforma, por via não autorizada, o arguido AA, em conjugação de esforços com outros indivíduos não identificados, inseriram na plataforma cinco (5) ficheiros contendo dois tipos de reverse shells em código OOOOOO.

87. Estes ficheiros, que são considerados malware, permitiram o estabelecimento de conexão entre o sistema informático acedido e o arguido e restantes indivíduos não identificados, com origem na máquina infectada e, simultaneamente, conferiu-lhes uma espécie de acesso protegido.

88. Através destas conexões em reverse shell, o arguido e os demais indivíduos puderam executar e determinar os comandos que entenderam, como se estivessem dentro do sistema informático, sem que os mecanismos de segurança, como as firewalls, fossem accionadas.

89. As reverse shells foram instaladas no sistema informático da AppCorporate sob diferentes camadas de disfarce, de forma a evitar a sua detecção.

90. Por um lado, os ficheiros PHP encontravam-se disfarçados com diferentes camadas para que o código malicioso não fosse detectado por mecanismos de segurança, e, por outro, a reverse shell em formato PHP foi disfarçada com a extensão PNG, para que não fosse detectada em pesquisa por ficheiros PHP.

91. Após, introduziram texto ou ficheiros e software malicioso, que produziram a alteração dos conteúdos da plataforma.

92. Na realidade, aproveitando as próprias faculdades da plataforma, o arguido e terceiros não identificados, usaram os formulários disponíveis na plataforma backoffice da App Corporate Club, criados originalmente para permitir aos seus administradores inserirem conteúdos, como fotografias de jogadores ou vídeos promocionais, para fazerem o carregamento de conteúdo malicioso.

93. E, para além disso, produziram texto livre e criaram ficheiros, totalmente alheios ao normal conteúdo da referida plataforma.

94. Com esse comportamento, alteraram o nome dos camarotes gold cabin, silver cabin e PPPPPP e dos executive seats, de molde a fazer constar dos mesmos a frase: «Hacked by Cyber... - #OP…March».

95. Procederam à alteração dos termos e condições de uso da plataforma, das políticas de privacidade e do texto de boas-vindas da plataforma, aí incluindo a menção a «Hacked by Cyber... - #DDDDDD #portugalpowerhacking».

96. Alteraram o nome atribuído a quatro jogos de futebol em que era interveniente o clube B.…, aí passando a constar a frase: «Hacked by Cyber... -#OP…March #portuga/powerhacking».

97. Criaram dois novos jogadores na plataforma, com o nome “Cyber...” e “QQQQQQ”, a que associaram a fotografia do símbolo do grupo Cyber....

98. Enviaram fotos e ficheiros para a listagem de notícias, produzindo as alterações que são indicadas no quadro constante de fls. 1650 verso e 1652 verso, e que aqui se dá por reproduzido para todos os efeitos legais.

99. Em consequência da actuação do arguido, em conjunto com terceiros não identificados, a equipa da cibersegurança do grupo …B teve de efectuar um backup integral da plataforma, criar uma segunda cópia, expurgar a informação indevidamente colocada, tendo tomado pelo menos seis meses de trabalho para voltar a ter a AppCorporate a funcionar regularmente.

100. Entre as 17h19 e as 18h53, o arguido AA, através do IP 88.214.163.9, experimentou o uso das credenciais de alguns colaboradores do grupo B.…, previamente divulgadas pela Cyber... e pelo próprio arguido nas redes sociais, para aceder às contas de correio electrónico alojadas na plataforma Office 365.

101. Tentou a sua autenticação em doze (12) caixas de correio electrónico do domínio …B.…pt, a saber (ver ainda imagem/quadro constante de fls. 1653, que aqui se dá por reproduzida para todos os efeitos legais):

- ...;

- ...; - ...;

- BB@...B.…pt; - HHHHHH@...B.…pt;

- ...;

- ...; - ...;

- ...; - ...;

- ...; - ....

102. Pese embora o arguido AA tenha introduzido o nome de utilizador e password correctos no que respeita ao acesso ao correio electrónico da colaboradora BB, com o endereço BB@...B.….pt, o mesmo apenas não logrou entrar e conhecer a sua correspondência porque o sistema exigiu um segundo factor de autenticação, que apenas é do conhecimento da própria – conforme imagem/quadro constante de fls. 1653 verso, que aqui se dá por reproduzida para todos os efeitos legais.

103. Quanto aos demais endereços de correio electrónico, não foram os mesmos alcançados pelo arguido AA, desde logo pela incorrecta introdução de username e password.

104. Entre as 18:04:44 e as 18:46:18, do dia 2 de Março de 2020, o arguido AA, fazendo ainda uso do IP …3.9, tentou aceder, sem autorização por parte dos seus proprietários, à área reservada de websites do Grupo B..... em ambiente (ou plataforma) Azure.

105. Em concreto, introduziu credenciais de utilizadores no website do B.…, do B.....Lab e da Fundação B.…, com o objectivo de entrar nesses espaços, o que não conseguiu por motivos alheios à sua vontade – conforme imagem/quadro constante de fls. 1654, que aqui se dá por reproduzida para todos os efeitos legais.

106. Pelas 18h06 GMT, o arguido AA lançou um pedido direccionado à gestão de bilhética do site do B.…, sem sucesso – conforme imagem/quadro constante de fls. 1654, que aqui se dá por reproduzida para todos os efeitos legais.

107. Por sua vez, no site B.....Lab, o arguido AA tentou publicar conteúdo na página de login (entrada) da aplicação, igualmente sem lograr consegui-lo – conforme imagem/quadro constante de fls. 1654, que aqui se dá por reproduzida para todos os efeitos legais.

108. As 18h18, do dia 2 de Março de 2020, foi publicada, no perfil Cyber... da rede social Facebook, uma captura de ecrã extraída no interior da área reservada da App Corporate Club, à qual adicionaram a seguinte legenda:

«B..... Hacked by Cyber... - #OP…March

@B..... goooo/0000000 dos ''suspeitos do costume"

{#RRRRR - #infosec - #cybersecurity - #websecurity]

... t/appcorpora e…B.....pt/storagelsco ail/2ela9c958961a34b7b13021537 79ec02.joo

...:  RRRRRR:… /video

... ilancia/wp content/op4am SSSSSS #DDDDDD

We are @c…

#Cyber... #OP…March #LLLLL #freeruipinto».

109. Às 18h23, o arguido AA republicou aquele post através do seu perfil de facebook “IIII”, associando-lhe a seguinte pergunta: «ai blz? Como vai o caso dos mails do B.…?KKKKKKKKK».

110. E pelas 18h29, do dia 2 de Março de 2020, o arguido AA repetiu aquela publicação na rede social Twitter, através do seu perfil @DD_dotsh, no https://twitter.com/DD …/  ...46, seguinte legenda:

« B..... Hacked by Cyber... - #OP…March

@...B..... goooo/0000000 dos ''suspeitos do costume"

[#RRRRR - #infosec - #cybersecurity - #websecurity]

https:l/apocoroorate….B......pt/storaqe/social/2e7a9c958961a34b7b1302153779ec02.jpg

...: RRRRRR:…. /vídeovigilancia/wp content/op4am SSSSSS

#Cyber... #OP…March #portugalhacked

We are@c...».

111. Em hora não concretamente apurada, foi publicada a mesma imagem da AppCorporate na conta de Twitter da Cyber....

112. No dia 9 de Abril de 2020, entre as 16h30 BST e as 17h44 BST, o arguido AA, em conjugação de esforços com outros indivíduos não concretamente identificados e que integram a Cyber..., acederam a sistema informático do grupo B.…, pertença das assistentes, designadamente, o portal “MyB…”, acessível através do endereço myB......B.…pt.

113. Para o efeito, o arguido AA fez uso do IP 88.214.184. 129, com registo na Altice e associado ao contrato celebrado com MMMM, efectuou 19 tentativas de acesso àquele espaço reservado, que tiveram início pelas 16:17:13 +010061.

114. Face ao insucesso nessas tentativas, munido do telemóvel de marca ..., modelo ..., e fazendo uso do IP 188.81.156.20, com registo na Altice, associado ao utilizador ..., em resultado de contrato celebrado com MMMM, o arguido AA experimentou as credenciais de acesso de um colaborador do grupo B.…, chamado CC e entrou na área reservada do portal “MyB…”.

115. Após ter alcançado o acesso no sistema do portal MyB…, o arguido AA partilhou o endereço do MyB…. na plataforma de comunicação Discord, razão pela qual se despoletou o acesso de pelo menos mais um bot.

116. Um indivíduo desconhecido, fazendo uso do IP 87.196.82.3 (com registo na NOS), acedeu ao portal MyB…. pelas 17h07 BST.

117. O portal “MyB…”, à data dos factos, era utilizado como backoffice do website da Fundação B.…, sendo usado pelos administradores do site para a gestão e introdução de conteúdos.

118. Esse portal, porém, tinha servido como página de autenticação no website do B.…, razão pela qual ainda continha algumas contas de adeptos activadas.

119. A conta detida por CC, apesar do mesmo ser colaborador do grupo, era uma destas contas de adeptos residuais, que conferia apenas permissões básicas de utilização, sem faculdade de acesso ao backoffice.

120. Pelas 17h29, foi publicada no perfil de Twitter @Cyber... (com o ...94) uma imagem da área reservada do portal “MyB….”, acessível em https://myB......B......pt, acompanhada dos seguintes dizeres:

«B..... pirateado pela segunda vez, desejamos à Polícia Judiciária o "começo" de uma boa investigação policial, jogue os corruptos para fora do campo!

@QQQQ_FL

A liberdade cantou!

@...B.....

 #RRRRR

@... g_ CP

#RRRRR

#Cyber... #B.....Hacked#PortugalHacked».

121. O arguido também publicou este acesso junto da conta de Instagram do mesmo, juntamente com uma imagem da área reservada do portal “MyB.....” e com a legenda: «PS: pelo PC o painel admin fica todo branco, pelo móvel até que deu para entrar

@...B..... mais um site invadido

O menino do asperger tá on fire

Sporting IV B.....

Hacked by DD

... Cyber...».

122. Para reposição dos níveis de segurança neste portal “My B.…”, foi tomado tempo superior a 30 dias à equipa das operações de cibersegurança do grupo B…, obrigando à suspensão e desactivação das contas de acesso ao backoffice.

M… – Serviços…, S.A.

123. A M… - Serviços…., S.A., pessoa colectiva com o NIPC …47, e sede na…, em …, tem por objecto, entre outras, a concepção, construção, gestão e exploração de redes e infra-estruturas de comunicações electrónicas, a prestação de serviços de comunicações electrónicas, dos serviços de transporte e difusão de sinal de telecomunicações de difusão e actividade de televisão; prestação de serviços nas áreas de sistemas e tecnologias de informação, sociedade de informação, multimédia e comunicação e respectivos conteúdos, incluindo actividades de processamento e alojamento de dados, domiciliação de informação e actividades relacionadas.

124. Entre as 17:46:05, do dia 15 de Abril de 2020, e as 06:34:50, do dia 16 de Abril de 2020, o arguido AA acedeu, sem qualquer autorização para o efeito, à aplicação empresarial J… da M…, que é uma aplicação de suporte offline a vendas porta-a-porta a clientes do segmento residencial.

125. Para o efeito, o arguido AA usou a técnica de SQL-Injection, introduzindo um conjunto executável de instruções sobre a aplicação, de forma a forçar a sua entrada, tornando possível o alcance do sistema informático por essa via.

126. Por meio do ataque SQL-Injection, o seu autor explora as vulnerabilidades da rede de internet, que permite ao atacante interferir com os dados transmitidos entre as aplicações e a base de dados, e assim visualizar, alterar ou apagar dados que, geralmente, não consegue extrair.

127. De seguida, após aceder às bases de dados dessa aplicação, o arguido exfiltrou os dados, incluindo nome e morada, de clientes contidos em tabelas de vendas e de colaboradores das vendas porta-a-porta.

128. Em concreto, acedeu e exfiltrou o conteúdo da tabela com a denominação jsn.ivrs, contendo 155.774 registos de clientes, que incluíam nome, morada, NIF, e-mail, telefone, SI/passaporte e NIB, nas situações em que foram indicados.

129. E da tabela de vendedores, contendo nome, morada e empresas para quem trabalhavam, contacto telefónico, nome do chefe de equipa, num total de 123.325 registos.

130. Acedeu, ainda, à tabela jsn.vendedores-sms-2018, que exfiltrou, contendo nome, texto de sms, identificação dos vendedores, nome do cliente e NIF, num total de 1.165.085 registos, que correspondem a 123.165 clientes únicos – conforme se extrai da tabela constante de fls. 1658, que aqui se dá por integralmente reproduzida para todos os efeitos legais.

131. A sua ligação foi estabelecida entre as 14:04:31+0100 e as 20:31:07 +0100 de 15.4.2020, através do IP …08, associado ao username as…@3p.sapo.pt da M…, registado em nome de MMMM.

132. E também através do IP 88.214.184.108, com o username da M…, registado em nome de MMMM, entre as 20:47:01 do dia 15.4.2020, e as 08:47:01 do dia 16.4.2020.

133. Para essas ligações decidiu aceder, sem autorização, à rede wifi difundida pelo router com o SID ...57, que tem como proprietário J.…, Lda., que se encontra instalada na morada Rua ..., ..., ... ..., com o objectivo de ocultar a sua actuação.

134. A residência de TTTTTT situa-se a cerca de 50 metros da residência do pai do arguido AA, que reside na Rua ..., ....

135. Acedeu, ainda, à mesma aplicação, através do IP …12, com o username as…b@3p.sapo.pt da M…, registado em nome de UUUUUU, entre as 23:23:28 do dia 15.4.2020, e as 06:34:50, do dia 16.4.2020.

136. Com efeito, o arguido guardava os dados de acesso à internet de UUUUUU, que obteve por forma não concretamente apurada, no seu computador com o modelo ..., que possui o MAC ….

137. Assim, o arguido AA, com o intuito de ocultar a sua actividade de exploração de vulnerabilidades em sistemas informáticos alheios, acedeu, sem consentimento, à rede de internet contratada por UUUUUU, tendo sido através dessa que perpetrou os factos descritos em 124 e segts.

138. Após o sucesso com a entrada na aplicação da J… da M…, o arguido AA reivindicou o “ataque” nas redes sociais, designadamente no Twitter, através do perfil Cyber... e @Cyber...Reborn em https://twitter.com/C.../status/...20   https://twitter.com/C.../status/ ...69.

139. E deixou, ainda, uma mensagem dirigida a VVVVVV: «Cyber... Portugal volta agir pela terce ira vez :) A… Portugal, especificamente para o Sr. VVVVVV, "as consequências foram nulas"? Por favor! Vamos admitri que a sua empresa não aguenta com a Cyber..., sabemos que é embaraçoso ter jovens de 14 a 19 anos a invadir a maior empresa de telecomunicações de Portugal, mais de 1, 2 e 3 vezes, já não acha que basta? Altice Portugal já derrubou 2 servidores, e mesmo assim acabamos por invadir outro, em uma questao de 12H, nem mesmo a NASA se safa caro ''amigo". Para reforçar, VVVVVV, presidente da Altice desde ''2017”, por que eles mantêm mensagens telefônicas de clientes de a "três" anos atrás? Como é saber que existe uma falha nas torres de transmissão de mensagens e chamadas telefônicas que permite ver todas as mensagens enviadas e ouvir as conversas e mesmo assim não querem resolver ... (!!) Portugal merece saber toda a verdade, por favor acordem!!! A… Portugal, um pequeno documento como "castigo" pelas suas fraudes, manipulações, farsas e não esquecendo pelo mais grave,…: https://g...

PS: Com um computador um copo de coca-cola e um cigarro o seu website foi exploitado!

(Somos a Cyber..., e estamos nessa luta até o fim!)

Powered by DD, TT, ZZZZ, ..., QQQ, $...».

140. Nessa mensagem, era dado a conhecer que os dados exfiltrados estavam publicados no site https://ghostbin.co/oaste/un5ge.

141. Para mitigação deste ataque informático, os serviços da M… desligaram o acesso exterior à aplicação J…, o que impossibilitou o registo das vendas porta-a-porta durante uma semana e, com isso, o registo de alterações a contratos já existentes e de novos.

142. A M… tem um contrato de prestação de serviços com a Serviços Partilhados do Ministério … (SPM…), mediante o qual está encarregue de realizar a gestão operacional do S..., nomeadamente, quanto às comunicações, recursos humanos e postos de trabalho.

143. Entre as 04:59:52 +0100 e as 21:53:26, do dia 18 de Abril de 2020, o arguido AA, fazendo uso do IP …47, associado ao username as…@3p.sapo.pt, da M…, conseguiu aceder à plataforma do S… - Portal …, gerida pela M…, S.A..

144. Para o efeito, o arguido usou o método de SQL-Injection, o que lhe veio a permitir o acesso ao mecanismo da base de dados e ao modelo de dados da mesma.

145. Aí chegado, acedeu ao descritivo de algumas tabelas, e consultou quatro fichas de colaboradores do S…, ou seja, de pessoal técnico da área da saúde, pelas quais conseguiu visualizar, nomeadamente, o nome, morada, contacto e habilitação.

146. Esses dados foram alcançados pelo arguido via frontend (aplicação), dos quais fez print screen.

147. Para mitigação do ataque, os serviços da M.… desligaram o acesso à aplicação que se encontrava disponível no site S.…, e que habitualmente apenas é acedida através de username e password pessoal.

148. A plataforma ficou desligada durante um mês, pois foi necessário corrigi-la e alterar procedimentos.

Universidade .... (apenso 16 - NUIPC 49…..)

149. A Universidade .... é uma fundação pública sujeita a regime de direito privado com sede no Campus de Campolide, em Lisboa.

150. Enquanto instituição de ensino superior pública, tem por missão servir a sociedade a nível local, regional e global, pelo avanço e disseminação do conhecimento e da compreensão entre culturas, sociedades e pessoas, através de um ensino e de uma investigação de excelência e de uma prestação de serviços sustentados num forte sentido de comunidade.

151. A Universidade .... integra a Faculdade de Ciências Sociais e Humanas que, por sua vez, integra o CITI - Centro de Investigação para Tecnologias Interactivas.

152. O Centro de Investigação para Tecnologias Interactivas (CITI) é uma unidade de investigação da Universidade …, criada em 1991, e localiza-se na Avenida…, em …..

153. O site do CITI encontra-se acessível através do endereço www.citi.pt, que usa o IP 193.136.6.41.

154. No dia 19 de Abril de 2020, a partir das 21:51:56 (GMT), o arguido AA, em conjunto com outros indivíduos não concretamente identificados, mas que usaram os IP's ….50, …..25 (associado a WWWWWW) e IP …...67 (associado a XXXXXX), lançaram um ataque SQL-Injection sobre a base de dados dos websites www.furnas.citi.pt e www.voluntariosleitura.org.

155. Com o sucesso na referida entrada por via de SQL-Injection, o arguido, e os demais indivíduos, ficaram na posse de credenciais de acesso de administrador, que detém poderes suficientes para efectuar a gestão dos websites associados ao www.citi.pt, em número de 240, e que correspondem a projectos e subprojectos do Centro de Investigação para Tecnologias Interactivas.

156. Esses websites são orientados para o exterior, funcionando como infraestrutura de alojamento para aqueles projectos, de diversas áreas do conhecimento, sendo alguns de livre acesso e outros sujeitos a credenciais de acesso pessoais.

157. O arguido AA, fazendo uso do IP …01, a partir das 03:37:35 UTC e até às 15:43:32 UTC, do dia 20.04.2020, associado ao utilizador ..., e registado no nome de MMMM, após entrada no sistema, acedeu às bases de dados das credenciais de acesso e daí extraiu uma tabela com credenciais (username e palavra-passe) de acesso a estes websites do C….

158. E, munido dessas credenciais “legítimas” de acesso, efectuou login nos painéis de administração dos websites www…..c….pt e www.v....org.

159. Após entrada nesses espaços sem autorização, e através de técnica não concretamente apurada, AA alterou a configuração e imagem dos dois sites, criando o defacement dos mesmos, ao postar fotografias do grupo Cyber..., situação que durou, pelo menos, duas horas.

160. Na sequência destes actos levados a cabo pelo arguido e outros indivíduos não identificados, a equipa da área informática procedeu à desactivação dos websites por forma a restabelecer os padrões de segurança, e assim permaneceram (desactivados), pelo menos até 29 de Maio de 2020.

161. A Cyber... reivindicou o ataque no perfil da rede social Twitter @Cyber....

Estado … (apensos 18 e 19 – NUIPC´s 83… e 11…)

162. O Centro de Investigação do Instituto …. (adiante CI…) é um centro de investigação e desenvolvimento, como o próprio nome indica, que tem por missão promover ou participar, em colaboração com outras instituições da comunidade científica nacional ou internacional, na realização de projectos de ID… e na divulgação de conhecimento científico, apoiar actividades de investigação, desenvolvimento e inovação no âmbito dos estudos pósgraduados, entre outros.

163. Tem localização na Rua ...…, e usa, para o desenvolvimento das suas actividades, o site www.iu…pt.

164. O website do CI… assenta na utilização da plataforma Joomla (versão 3.9.3), um sistema open source para a gestão de conteúdos web, vulgarmente conhecido por Content Management System (CMS), sendo utilizado como servidor aplicacional o Apache HTTP Server (versão 4.2.18) para a sua disponibilização.

165. Ao nível da arquitectura de rede, este servidor encontra-se numa Demilitarized Zone (DMZ), segregado da restante rede do IUM e protegido por uma firewall pfense.

166. No período compreendido entre as 03:43:04h, de 12 de Julho e 2 de Setembro de 2020, o arguido efectuou actividades de reconhecimento junto das infraestruturas da área da defesa, incluindo Ministério…, Estado……, usando, para o efeito, a ligação através do IP …37, com domínio na M....

167. Para o mesmo efeito usou, ainda, o IP …12, designadamente, nos dias 25 de Julho de 2020 e 11 e 12 de Agosto de 2020, afecto ao utilizador ..., que se encontra registado em nome de UUUUUU, com morada na ... ..., ocultando a sua actuação.

168. Após reconhecimento da infraestrutura, no período compreendido entre 15.10.2020 e 17.10.2020, o arguido, fazendo uso dos IP's …73 e …74, com domínio na M.…, lançou ataque por SQL-Injection para identificação de vulnerabilidades sobre o sistema informático do Centro de Investigação e Desenvolvimento do Instituto …. (adiante CI…), procurando identificar parâmetros dos pedidos HTTP vulneráveis, e qual o sistema gestor de base de dados utilizado, através da ferramenta SQLMAP.

169. Em 16.10.2020, pelas 00h22, através do endereço de IP …71, o arguido detectou uma vulnerabilidade no sistema de autenticação do website, designadamente, nos parâmetros username e password, o que significa que com a injecção de código SQL, através dos parâmetros anteriores, conseguiu ultrapassar o mecanismo de autenticação existente.

170. Por força da descoberta dessa vulnerabilidade, o arguido logrou autenticar-se através do utilizador “root”, que é o único que tem a função de gestor, comprometendo uma conta de acesso privilegiado na aplicação.

171. Em paralelo, o website não ficou correctamente protegido.

172. Com a existência de duas vulnerabilidades detectadas, o arguido identificou formas de carregar ficheiros para o servidor, para alcançar o acesso físico ao mesmo.

173. Para o efeito, no mesmo dia 16 de Outubro de 2020, entre as 00h23 e as 02h42, e as 11h19 até às 12h37, o arguido, fazendo uso da sessão iniciada com um utilizador válido e permissões especiais, usou novamente uma ferramenta automática para testar vulnerabilidades que o habilitassem a esse carregamento.

174. E carregou ficheiros que lhe permitiram escalar privilégios no interior do sistema informático e executar comandos.

175. Designadamente, entre as 00h23 e as 02h42, e 11h19 e 12h37, do dia 16.10.2020, e fazendo uso do IP ….71, carregou um total de 7 (sete) ficheiros para a directoria/docs/artigos:

- 4 (quatro) ficheiros com extensão php/phtml, para funcionarem como uma webshell (trata-se de um interface web, semelhante a uma shell, e que pode ser desenvolvido numa qualquer linguagem suportada pelo servidor web e que visa permitir o acesso e controlo remoto desse mesmo servidor. O atacante pode fazer uso desta para executar comandos, carregar, descarregar, apagar e/ou executar ficheiros. Assim, permite-lhe escalar privilégios e manter um acesso persistente, após exploração de vulnerabilidades);

- 1 (um) ficheiro de extensão html, que contém a assinatura do autor do ataque (Cyber...):


- 2 (dois) ficheiros de extensão txt, iguais entre si, com a assinatura do autor do ataque.

176. Entre as 12h37 e as 13h53, e fazendo uso do IP 88.214.160.71 e 88.214. 161.71, o arguido acedeu e utilizou a webshell conhecida pelo nome b374k.

177. Em simultâneo, e em acto previamente concertado, dois indivíduos de identidades desconhecidas, fazendo uso dos IP's …63 (associado a YYYYYY) e 176.78.116.241 (associado a ZZZZZZ), actuaram de forma semelhante.

178. Ou seja, quer o arguido, quer os outros indivíduos de identidades não concretamente apuradas, acederam a diversas directorias e ficheiros dos utilizadores iumadmin, iumadm e stic, obtendo informação como utilizadores, aplicações e versões instaladas, bem como elementos para acesso à base de dados (utilizador e palavra-passe).

179. E realizaram o carregamento de 17 (dezassete) ficheiros adicionais para o servidor web, correspondendo 15 (quinze) desses ficheiros a webshells, e os restantes 2 (dois) a diferentes versões de um script de PHP legítimo, que tem por objectivo permitir a gestão de bases de dados (Adminer).

180. Após carregamento do script para gestão de base de dados, o arguido e os demais indivíduos não identificados consultaram diversas tabelas das três bases de dados.

181. E pelas 14h59 de 16.10.2020, o arguido e os demais indivíduos, em conjugação de esforços e sob um plano previamente delineado entre todos, exfiltraram informação, designadamente dados da tabela site users da base de dados cidium2, tratando-se dos endereços de correio electrónico e respectiva password de 502 (quinhentos e dois) utilizadores distintos, password essa que estava sob a cifra bcrypt – conforme consta da imagem/quadro constante de fls. 1663 verso, que aqui se dá por reproduzida para todos os efeitos legais.

182. No dia 17.10.2020, pelas 11:25h, o arguido, através do IP …71, usou a referida webshell e apagou quatro dos ficheiros introduzidos no dia anterior.

183. Os factos descritos foram reivindicados na rede social Twitter, pela Cyber..., através do perfil de @Cyber…, e também pelo arguido, através do perfil “@JJJJ”.

184. No perfil da @Cyber…., o arguido AA escreveu: «Estado .... #hacked @fap_oficial entrem em contacto para mais informações sobre segurança cibernética. #database, #infosec #HackThePlanet cybersecurity #PORTUGALPOWERHACKING » e «Estado ….. #hacked …#infosec Ministério … #HackThePlanet @fap_ofcii al @emgfa @defesanacional entrem em contacto para masi informações :) Bancos de dados acessíveis,

[*] ADMINLA YOUT

[*] AUDSYS

[*] CTXSYS

 [*] MDSYS

[*] SYSTEM

[*] SYS

 [*] XDB

#PORTUGALPOWERHACKING We are Cyber...».

185. E no perfil de twitter de @JJJJ, o arguido AA reivindicou o ataque da seguinte forma:

«Ministério … hackeado!!!

#antisec #infosec

Centro de Investigação, Desenvolvimento e Inovação da Academia Militar

Centro de Investigação de Segurança e Defesa do Ministério da Defesa

Centro de Investigação da Academia da Força Aérea

Centro de Informação Geoespacial do Exército

Centro de Investigação do Exército

Centro de Investigação da Marinha By Cyber...

Portugueses Hackers Portuguesa Cyber Army».

186. E, ainda, «senhores inspectores, impressionados? Para mim, não é o suficiente. Desejo uma boa manutenção, nos sistemas e servidores,

@exercitoportugues_ oficial

@academiaml'litar_ oficial

@academiaforcaaerea

 @marinhaportuguesa

@fap_oficial

@emgfa

#Cyber...

Portugueses Hackers

Portuguese Cyber Army

#HackTheP!anet.».

186. Para resolução da situação gerada pela actuação do arguido e outros indivíduos não identificados, o website do CI… foi desactivado a partir de 19 de Outubro de 2020.

Jornal … (apenso 13 - NUIPC 68…)

187. O Jornal …, como órgão de comunicação social, dispõe do site https://www.j…pt, onde publicita a informação necessária a veicular aos cidadãos.

188. Tem sede na Rua….

189. No dia 30 de Julho de 2020, pelas 01:11:23+0100, fazendo uso do IP …37, com domínio na T…/A…, afecto ao utilizador ..., registado em nome de MMMM, o arguido AA acedeu, sem qualquer autorização, à plataforma digital (backoffice) do Jornal….

190. E, após, iniciou um ataque do tipo defacement, por método não concretamente apurado, ao URL https://www.j....pt/nacional/ver/99999/Hacked by Cyber..., provocando a alteração da imagem que era exibida no referido site para uma por si seleccionada, que exibe um indivíduo com a face coberta, usando capuz, a trabalhar num computador e com a mensagem «Hacked by Ciberteam (...) Cyber... was here!#antiAAAAAAA O AAAAAAA que se foda! O sidtema que se foda! Ps: tou sem paciência para escrever um texto bonitinho com palavrinhas chiques! (…)», e que assume o seguinte aspecto:


191. Para além disso, usando as credenciais de utilizadores que obteve em listas divulgadas previamente na internet, na sequência de falhas de segurança (leaks), para entrar em área reservada do Jornal…, criou publicações totalmente alheias ao objecto do Jornal.

192. Designadamente, criou uma publicação pelas 15h02, do dia 30.7.2020, com o título “Hacked By Cyber...” e com o texto: «Cyber... was here again! Olá mundo, devemos repetir a mensagem novamente? Mas agora em voz alta, por favor, O AAAAAAA QUE SE FODA! AAAAAAA: "Quem fizer isto quando o ... governar, masi vale fugir para bem longe daqui!" Pessoas enganadas são pessoas materializadas. Apoiamos os fracos contra os poderosos, somos mais do que você pensa e agora você é um de nós, e o que somos? Nós somos a resistência!», que surge assinado por #Cyber... #Anonymous e #AntiAAAAAAA».

193. O “ataque” foi reivindicado pela Cyber... em publicação da rede social Twitter em 30.07.2020, pelas 15h24 acessível à  data pela ligação

https://twitter.com/C.../status/128884297529858368, na qual se escreveu:

«Jornal … & Rádio … pirateado novamente!

[#RRRRR - #infosec - #cybersecurity - #websecurity]

Jm-madeira.pt/internacional/...

Radiocalheta.pt/hacked-by-cybe ...

Cópia: zone - h.org/mirror/id/3407...

Cópia: zone -h. org/mirror/id/3408 ...

#Cyber... #...».

194. Para repor a estrutura normal do site, o Jornal ... recorreu a empresa externa, que teve de substituir todos os acessos dos colaboradores do Jornal e bloquear os antigos.

195. Bem assim, recebeu várias reclamações por parte dos assinantes que desaprovaram o sucedido.

Assembleia Legislativa ... (ALRAA) (apenso 22 - NUIPC's 705/20 e 1028/20.0JGLSB)

196. A Assembleia Legislativa ... (doravante ALRAA), titular do NIPC 672000830, com sede na Rua Marcelino Lima, na Horta, dispõe de um site junto do endereço www.alra.pt, no qual publicita informação sobre a sua agenda parlamentar, vídeos do período legislativo de Março, iniciativas legislativas recentes e notícias relacionadas.

197. Esse site permitia o acesso a um sub-site da agenda do Parlamento, que é uma espécie de site terciário.

198. No dia 7 de Agosto de 2020, pelas 16:20, o arguido AA, fazendo uso do IP ...80, associado ao utilizador ..., e registado em nome de MMMM, lançou um ataque por SQL-Injection sobre o site www.alra.ot, juntamente com outros indivíduos não concretamente identificados, que fizeram uso de IP's anonimizados por virtual private networks (VPN's).

199. Foi detectada uma vulnerabilidade do sub-site da agenda da ALRAA, uma vez que a base de dados do mesmo tinha uma linguagem de SQL (Structured Query Language) com cerca de 10 anos, sem protecção e com o username e password legível e sem encriptação na própria base de dados.

200. No dia 14 de Agosto de 2020, pelas 13:39, e na posse dessa palavra-passe, o arguido AA, em conjunto com outros indivíduos não identificados, inseriu uma linha na tabela “guestbook”, link esse que continha um “script” javascript que provocou a alteração da imagem do site da A… (defacement), passando a conter uma mensagem do grupo Cyber....

Instituto ..., Lda. (apenso 21 - NUIPC's 77…, 90… e 10…)

201. O Instituto ..., Lda. (adiante IMR), sociedade por quotas, com o NIPC …10, tem sede na Rua…, e dedica-se à realização de estudos de marketing, inquéritos e sondagens de opinião, diagnósticos e estudos sectoriais.

202. Em razão do seu objecto social, o IMR armazena nas suas bases de dados informações sobre inúmeras pessoas e empresas.

203. Entre os dias 13 de Agosto de 2020 e 14 de Agosto de 2020, o arguido AA, fazendo uso do IP …37, associado ao utilizador ..., registado no nome de MMMM, e do IP …12, associado ao utilizador ..., registado em nome de UUUUUU, conjuntamente com outros indivíduos não concretamente identificados, que fizeram uso dos IP's …42, …78, …17, …07, …48, …46, …54 e …86, em formato anonimizado, desencadearam, em conjugação de esforços acordada e aceite entre todos, um ataque sobre o servidor do IMR.

204. O arguido e os demais indivíduos estudaram e analisaram as vulnerabilidades de website da IMR htto://estudo2.imr.pt/…/alojado no IP …38, sob gestão da IMR, e respectivas bases de dados, através da detecção de erros e pelo programa SQLMAP (SQL-Injection), de forma a lograr o acesso ao conteúdo daquelas.

205. A técnica de utilização dos erros do sistema, permite substituir ou anexar ao parâmetro afectado uma mensagem de erro específica do banco de dados, que provoca a instrução, e analisa os cabeçalhos de resposta HTTP, em busca de mensagens de erro de DBMS.

206. Esta técnica funciona apenas quando o aplicativo da web foi configurado para divulgar o banco de dados back-end quando surgem mensagens de erro do sistema.

207. De facto, o referido website não fazia correctamente a validação dos campos de “input” das variáveis utilizadas e, ao dar um erro (aquando da validação do “query”), era retornado ao mesmo algo de que o arguido e demais indivíduos, que com ele actuaram, reconheceram.

208. Foi o arguido AA, através do uso do IP 188.81.108.237, que desencadeou o primeiro ataque para exploração de vulnerabilidades sobre as bases de dados associadas a:

./ mysql.user, pelas 17:24:52 do dia 13.8.2020;

./ sonaesite.utilizadores, pelas 17:40:35, do dia 13.8.2020;

./ limesurvey, pelas 18: 14:46, do dia 13.8.2020;

./ BB2016.logs,87, pelas 18:34:20, do dia 13.8.2020;

./ worten_rec_plataforma. users, pelas 21 :05:34, do dia 13.8.2020;

./ jason_bmw_plataforma.users, pelas 2 1 :08:30, do dia 13.8.2020.

209. Em face da utilização das citadas técnicas, o arguido AA em conjugação de esforços com outros indivíduos, conseguiram alcançar as seguintes bases de dados:

215213 anacom2017.acessospostais_web

997 BB2016.logs_perfil

255 worten_plataforma.users

99 jason_bmw_plataforma.users

86 worten_rec_plataforma. users

85 mysql.'user'

57 limesurvey.users

8 sonaesite.utilizadores

210. No caso concreto do arguido AA, o mesmo teve acesso à base de dados limesurvey.users, entre as 18: 14:49 e as 18:14:51, e jason_bmw_plataforma. users, entre as 21 :08:33 e 21:08:38, do dia 13.8.2020.

211. Acedidas tais bases de dados, foi efectuada exfiltração parcial da informação ali contida, incluindo e-mails e nomes de cidadãos.

212. Após acesso às bases de dados, o arguido AA publicitou o ataque junto da rede social Instagram, através do perfil “JJJJ”, disponível em ..., juntando uma fotografia do conteúdo da estrutura da base de dados da IMR, com o alerta: «Entrem em contacto para mais informações sobre segurança cibernética. PS: print sem visualização dos dados confidenciais como prova. #HackTheP/anet#WhiteHat.89».

213. Em consequência da actuação do arguido e dos demais indivíduos que com ele actuaram em conjugação de esforços e vontades, o IMR desligou o seu sistema informático a partir de 14.08.2020, situação que se manteve pelo menos até 17.08.2020.

*

214. A intervenção da Cyber..., através de indivíduos diferentes do arguido AA, como o JJ ou o FFFF, também assumiu destaque ao nível de outros ataques informáticos, ocorridos entre Abril e Agosto de 2020.

Direcção-Geral do Orçamento (apenso 3 – NUIPC 27…)

215. A Direcção-Geral do Orçamento (adiante DGO) é a entidade que assegura a estabilidade e sustentabilidade das finanças públicas, tendo por missão regular e controlar o processo orçamental, estabelecer os instrumentos de controlo das finanças públicas, avaliar a evolução dos principais agregados das contas públicas, propor medidas que garantam o cumprimento dos objectivos orçamentais, garantir a tempestividade da informação da execução orçamental e participar na preparação da programação financeira plurianual da UE.

216. No dia 16 de Abril de 2020, um indivíduo de identidade não concretamente apurada, mas que se apresenta como JJ, também pertencente ao grupo Cyber..., acedeu, sem qualquer autorização, ao sistema informático da DGO.

217. O site institucional da DGO é www.dgo.qov.pt.

218. Fruto de ataque por SQL-Injection, foi detectada vulnerabilidade no endereço ..., o que permitiu o acesso, não autorizado, do referido indivíduo, que usa o nickname de JJ.

219. Após entrada, o mesmo simulou uma alteração de conteúdos usando o display de um formulário Sharepoint na fase de upload de conteúdos do site.

220. E captou a imagem de um formulário que apenas é acessível a nível interno e restrito no âmbito das funções na DGO.

221. Subsequentemente, publicitou no seu perfil de Twitter a imagem captada nessas circunstâncias.

Ministério .... (apenso 12 – NUIPC 50....)

222. O Ministério .... (adiante M…) é responsável pela formulação, coordenação e execução da política externa de Portugal, cabendo-lhe, igualmente, a representação do Estado português junto de outros países e organizações internacionais através da sua rede externa de embaixadas, missões permanentes e postos consulares.

223. São atribuições do M…, a protecção dos cidadãos portugueses no estrangeiro, a condução de negociações internacionais e processos de vinculação internacional do Estado português, a condução e coordenação da participação portuguesa no processo de construção europeia e a promoção de relações de cooperação e amizade com os diversos parceiros internacionais.

224. O M… dispõe de um portal denominado EUROCID, acessível através do endereço www.eurocid.mne.qov.pt, onde é facultada informação sobre o Centro de Informação Europeia Jacques Delors, informação europeia para os cidadãos, explicações sobre o que é a União Europeia, entre notícias e outros.

225. No dia 16 de Abril de 2020, um indivíduo de identidade não concretamente apurada, mas que usa o nickname JJ, e que pertence à Cyber..., entrou, sem qualquer autorização, na base de dados do portal EUROCID.

226. Após realização do referido “ataque”, o aludido JJ publicitou o acontecimento na sua página de Twitter.

Sindicato …(apenso 14 – NUIPC 6840/20.7T9LSB)

227. No dia 17 de Julho de 2020, entre as 11:47 e as 13:16, um indivíduo de identidade não concretamente apurada, mas que usa o alias FFFF, e que pertence à Cyber..., acedeu, fazendo uso do IP ...91, e por meio não concretamente apurado, ao sistema informático do Sindicato dos Funcionários Judiciais, após explorar uma falha de segurança no software de gestão e publicação de páginas web.

228. Com efeito, o sítio www.s....pt é propriedade do Sindicato…, titular do NIPC …50, com sede na Avenida…, e é, no mesmo, que constam a apresentação institucional do sindicato, a apresentação da actividade sindical, a assistência médica onde é divulgada a lista das entidades protocoladas, a área da formação onde são publicados textos de apoio à actividade profissional dos associados, protocolos de descontos aos sócios, entre outros.

229. Após entrada no sistema informático, sem qualquer autorização por parte do seu proprietário, o referido indivíduo alterou a imagem de apresentação do site, publicando uma fotografia de um alegado “hacker” do grupo Cyber..., que se identifica por “FFFF”.

230. Junto à imagem, surgia o texto «Fantasy is an easy way to make sense of the world. To escape from our harsh reality. The proof that there will be no time travel in the future is that we are not being visited by travelers in the future. Nothing was stolen fix the security flaws the whole Portugal system sucks».

231. O grupo Cyber... reivindicou o ataque e publicou-o na rede social Facebook, através de um post com o seguinte URL

https://m.facebook.com/storv.php?storvfbid=...43&id=...09.

232. Também nos dias 25 de Julho de 2020, pelas 17:10:10, e 26 de Julho de 2020, pelas 9:53:59, indivíduos, de identidades não concretamente apuradas, acederam, sem autorização, ao website do Sindicato…, fazendo uso, respectivamente, do IP …92, este último registado na operadora V… em nome de BBBBBBB.

233. Para que o website do Sindicato … voltasse a funcionar, foram necessários sete dias de manutenção e, durante esse período, os beneficiários de assistência médica ficaram impedidos de lhe aceder.

AC… - Administracão Central …- SP… (apenso 17 – NUIPC 76…)

234. A AC… - Administração Central…, I.P., localiza-se no … e tem o NIF ….23.

235. A SP… possui o NIPC …16, com sede na Avenida…, e é subcontratante da AC….

236. No dia 19 de Julho de 2020, pelas 14h57, um indivíduo de identidade não concretamente apurada, mas que usa o alias FFFF, membro da Cyber..., fazendo uso do IP …34, com registo na Microsoft USA, explorou uma vulnerabilidade no URL hxxps://umcc...min...pt/modules/Users/notificacoes.php?id= Sf 145 164c46dc&tipo= 1, do site umcc…-rncci.min….pt, que pertence à AC…/SP…, respeitante à plataforma da Rede Nacional dos Cuidados Continuados Integrados (RNCCI).

237. Em seguida, utilizando o acesso do IP ….73, também da Microsoft USA, iniciou um ataque de SQL-Injection sobre a referida vulnerabilidade detectada, que permite a um atacante interferir com as consultas que uma aplicação faz às bases de dados a que está ligada e visualizar dados relativamente aos quais, normalmente, não é capaz de aceder e retirar.

238. Isto pode incluir dados pertencentesa outros utilizadores, ou quaisquer outros dados a que a própria aplicação possa aceder., sendo que, em muitos casos, um atacante pode modificar ou apagar estes dados, causando alterações persistentes no conteúdo ou comportamento da aplicação.

239. E pelas 15:05:58, por forma não concretamente apurada, deu origem à exfiltração de informação contida no referido sistema informático, que apenas concluiu pelas 15:15:56.

240. Tal informação consistia numa lista de utilizadores, respectivos hash de passwords na internet e e-mails, elementos que permitiram ao dito FFFF recolher as informações de emails associadas aos utilizadores em causa, num total de 64567 registos.

241. O referido FFFF publicou a informação contida nessa base de dados da SPMS na internet.

242. E, após, expôs o sucesso do “ataque” junto do perfil de Twitter acessível através de httos://twitter.com/Cvber…/status/…43, conforme fotos infra: https://twitter.com/Cyber...status/...43

i tw1tter.com/Cyberle.lm0f C/?tatus/1 284860 1 2500670464 3

ti O Buscar no Tw.ttu

? Cy!MrTeam ? @ y , o c

Ministério da Saúde pirateado, AAAAAAA chupa o

nosso pau!

[#hackeo - #... - #cybersecurity - #tnfosec]

min-saude.pt

Nós sugerimos a todos os cidadãos que mudem as suas

senhas, porque o sistema no nosso país é horrível.

#Cyber... #Anonymous

by @ckw_offensive


243. Em consequência dos actos praticados por FFFF, a plataforma da Rede Nacional dos Cuidados Integrados teve de ser retirada da internet, situação que se manteve pelo menos até 27.8.2020 e, nessa medida, mais de 700 entidades ficaram impedidas de lhe aceder, entre as quais se contabilizam IPSS's, Misericórdias e entidades privadas com acordo com o Ministério…, até solucionarem formas alternativas.

244. Para prevenir novos ataques informáticos, com entradas não autorizadas no sistema, a SP…, através dos serviços de Informática (IT) contratados, providenciou pela alteração do mecanismo de cifra das palavras-passe, efectuou o reset das passwords, limitou o acesso da aplicação através da Rede Informática da Saúde ou por VPN, corrigiu a vulnerabilidade exposta e criou um mecanismo de exigência de password mais segura.

*

245. O arguido AA praticou os factos atrás descritos, individualmente ou juntamente com outros elementos do grupo Cyber..., de que são exemplo o “JJ”, “TT”, “FFFF”, e ainda com outros, de acordo com um plano previamente estabelecido ou ao qual aderiram quando os ataques estavam em curso.

246. Essa actuação ocorreu entre Janeiro e Outubro de 2020, essencialmente através de acessos não autorizados a sistemas informáticos alheios e alteração dos seus conteúdos, o que, aliás, quis, representou e conseguiu.

247. Mais actuou o arguido, bem sabendo que ao expor os nomes e emails de colaboradores de cerca de 86 (oitenta e seis) entidades públicas e privadas, e respectivas credenciais de acesso em fonte aberta na internet e de lhes dar publicidade nas redes sociais, tomava conhecimento de elementos que não estavam disponíveis para as pessoas em geral (na internet), o que quis, representou e conseguiu.

248. Não obstante tal divulgação pudesse não ser em primeira mão, AA sabia que esses dados não estavam facilmente acessíveis, desconhecendo-se, inclusivamente, a sua fonte, razão pela qual também não eram de conhecimento fácil e público para quem navegasse na óptica de um utilizador comum na internet.

249. Ao promover o seu aparecimento e cedência nas redes sociais, divulgou a terceiros informação sensível de milhares de utilizadores de emails, que, até aí, as não tinham conhecido e captado, para o que não estava autorizado, o que quis, representou e logrou alcançar.

250. No que respeita à Associação Portuguesa…, o arguido AA actuou conjuntamente com um indivíduo que se conhece como CCCCCCC, em comunhão de esforços, e, por via disso, entrou em espaço reservado, utilizando credenciais de terceiros, que lhe eram alheias, e que produziram as ordens necessárias dentro do sistema informático que permitiu a entrada daqueles, como se do verdeiro titular das credenciais se tratasse.

251. Quis o arguido AA aceder ao espaço reservado do sistema informático, para o qual era necessário a respectiva password de pessoa habilitada para o efeito, usando credencial alheia, conseguindo, dessa forma, lograr tal entrada.

252. Para além disso, quis o arguido, e conseguiu, através de método não concretamente apurado, alterar a imagem veiculada pelo site da APAF, e introduzir uma outra, focada na imagem de PPPP, e em mensagem de protesto pela prisão daquele, comparativamente com a liberdade de outros indivíduos também alvo de investigações criminais conhecidas mediaticamente.

253. No que respeita aos factos descritos praticados contra as assistentes B..... - Futebol SAD e B..... Estádio - Construção e Gestão de Estádios, S.A., bem sabia o arguido AA que, ao entrar na plataforma AppCorporate, propriedade daquelas, apondo uma credencial de acesso de uma colaboradora do grupo, ficava a conhecer dados pessoais relativos a BB, elemento que apenas adquiriu por ter introduzido, com sucesso, letras conjugadas do seu nome, em violação de regras que o impedem de entrar em espaço reservado.

254. Para além disso, quis o arguido introduzir credenciais que permitissem ao sistema tratar esses elementos como se tivessem sido apostos pelo seu verdadeiro detentor e, dessa forma, permitir-lhe o acesso não vedado à estrutura visada, o que representou e conseguiu alcançar.

255. Mais sabia o arguido AA, que acedia a plataforma da propriedade das assistentes, sem autorização e com uso de credenciais alheias, o que quis, representou e logrou alcançar.

256. Quis o arguido, após obter tal acesso, transmitir a informação necessária a terceiros para que alcançassem o mesmo feito – entrar sem autorização no sistema informático das assistentes, em concreto na AppCorporate, pelo que, para o efeito, e através de plataforma Discord, passou essa mesma informação.

257. Após entrada dos restantes elementos da Cyber..., não identificados, o arguido quis e logrou alcançar, através de esforço conjunto, a introdução de cinco webshells, com conteúdo malicioso.

258. Sabia o arguido AA que ao introduzir alterações no conteúdo da base de dados da AppCorporate, tal iria originar modificações no seu layout, dizeres e informações, tal como conseguiu fazer, alterando nomes de camarotes, termos e condições de uso da plataforma, nomes de jogos, e criar nomes de jogadores com fotografias da Cyber... associadas.

259. Mais sabia o arguido que ao introduzir credenciais que tinham sido divulgadas em leaks anteriores ou ao experimentar conjugações de palavras e números ou símbolos no espaço reservado    para          introdução    de  credenciais para acesso aos emails de BB@...B......pt, pretendia aceder a espaço reservado, de colaboradores do grupo B… e com correio electrónico profissional pertença das assistentes, para o que não tinha autorização.

260. Apenas não o tendo logrado, por força de razões que lhe são alheias, designadamente porque as credenciais não estavam correctas ou, estando correctas, o acesso exigia duplo factor de credenciação, ao qual o arguido não tinha acesso.

261. Nos mesmos moldes, sabia o arguido que ao introduzir quatro credenciais de utilizadores, obtidas por forma não apurada, no espaço dedicado aos websites do B....., B.....Lab e Fundação B....., o fazia com o intuito de entrar nesses espaços reservados para continuar a percorrer o sistema informático das assistentes, apenas não o conseguindo por razões alheias à sua vontade.

262. Mais quis o arguido introduzir uma alteração no site do B.....Lab, por meio de quatro tentativas de publicação de dados alheios ao conteúdo daquela, o que apenas não conseguiu por motivos alheios à sua vontade.

263. O arguido AA, sabia, igualmente, que ao aceder ao espaço MyB…., reservado, através da aposição de credenciais de CC, o fazia sem consentimento deste, ou do grupo …B, tendo criado condições para que o sistema tivesse permitido a sua entrada, por estar construído para disponibilizar a mesma a quem coloque as credenciais correctas, mormente o seu verdadeiro utilizador, o que representou, quis e alcançou.

264. Ao entrar com tais credenciais, obtidas de forma desconhecida, mas que se revelaram ser as correctas, não só o arguido ficou a conhecer esses elementos, secretos, como logrou entrar na base de dados do portal MyB…, o que representou, quis e conseguiu.

265. Quando o arguido escreveu em publicação que efectuou no perfil de rede social @Cyber...: «B..... pirateado pela segunda vez, desejamos à Polícia Judiciária o "começo" de uma boa investigação policial, jogue os corruptos para fora do campo!

@PPPP FL

A liberdade cantou!

@...B.....

#RRRRR

@S…_ CP

#RRRRR

#Cyber... #B.....Hacked#PortugalHack», fê-lo sem possuir quaisquer fundamentos para reputar a qualificação de “corruptos” como verdadeira, apenas com o intuito de ofender a pessoa colectiva B..... - Futebol SAD, disseminando essa característica pela internet, através do referido perfil.

266. No caso da M.…, sabia o arguido que utilizava uma técnica específica de procura de vulnerabilidades do site da aplicação JSN, técnica essa que apenas é usada por quem tem conhecimentos acima da média na óptica de um utilizador comum de informática, e que, em especial, é procurada para lograr entrar em bases de dados desses sistemas, de forma não autorizada, o que quis e conseguiu.

267. Sabia igualmente que, ao retirar a informação contida nessa base de dados, designadamente contendo nomes, moradas de clientes, contactos, NIB´s, entre outros, anotados em tabelas de vendas e de colaboradores de vendas porta-a-porta, tinha acesso à mesma, acedendo e transferindo dados pessoais e reservados sem que tivesse motivo bastante para fazê-lo, sem qualquer autorização da M.…, o que conseguiu.

268. Mais agiu o arguido, bem sabendo que ao aceder à plataforma S.…, detida pela M.… em razão de contrato com a SP…, através do método de SQL-Injection, o fazia contra a vontade do seu legítimo possuidor, o que representou, quis e logrou alcançar, daí resultando o acesso, igualmente, a elementos pessoais dos colaboradores ali registados.

269. No que respeita à Universidade …, agiu o arguido em conjugação de esforços com indivíduos não identificados, ao lançar o ataque por SQL-Injection sobre o site do CI… e sub-sites, o que lhe permitiu conhecer as fragilidades do mesmo e, por aí, entrar na base de dados do sistema e obter as credenciais de acesso de administrador.

270. Ao conhecer as credenciais de acesso de utilizador, elemento restrito e secreto, o arguido autenticou-se no sistema com poderes de gestão, conferidos por esse perfil de administrador, o que apenas foi possível porque o sistema devolveu o acesso qualificado a quem pensava deter condições para o efeito, por via de automatismo configurado no próprio sistema.

271. Mais sabia o arguido que agia contra vontade do dono do sistema informático, ao entrar nos websites secundários das furnas e voluntários de leitura e ao alterar a configuração dos mesmos, colocando fotografias alusivas à Cyber..., o que quis e logrou alcançar.

272. O arguido agiu, ainda, com intenção de retirar e copiar a informação inserta em base de dados com credenciais (utilizador e password) de acesso a esses websites, sem autorização e sem qualquer propósito legítimo, o que quis e conseguiu.

273. O arguido AA decidiu, ainda, conhecer a infraestrutura das áreas da Defesa e, após lançar ataque por SQL-Injection sobre o site do CI…, para detecção de vulnerabilidades que lhe permitissem entrar no sistema informático e respectivas bases de dados.

274. Ao autenticar-se através do utilizador “root”, com função de gestor dentro do sistema informático do CI…, acedeu às funções privilegiadas que eram permitidas a esse utilizador, apenas por ter introduzido os dados respeitantes àquele, que o sistema, pelos seus automatismos, aceitou como válidos e bons para a sua disponibilização.

275. O arguido agiu ainda, em conjunto com outros indivíduos não identificados, de molde a explorar o sistema informático alheio, sem qualquer autorização, carregando ficheiros para o seu interior, que lhes permitissem alcançar zonas do sistema mais ocultas e sujeitas a privilégios de acesso que ainda não tinham obtido, o que conseguiu.

276. Ademais, agiu com intenção de retirar e copiar a informação contida em tabelas, composta por endereços de correio electrónico de 540 (quinhentas e quarenta) pessoas e respectivas palavras-passe, sem autorização e sem qualquer propósito legítimo, o que quis e conseguiu.

277. O arguido agiu, ainda, bem sabendo que quando entrou no backoffice da plataforma digital do Jornal ..., o fazia sem autorização ou consentimento por parte do seu proprietário, o que representou, quis e logrou alcançar.

278. No seu interior (do sistema informático) e igualmente sem autorização, quis o arguido alterar as publicações que ali se encontravam fixadas, colocando uma imagem associada a hackers, dizeres de protesto contra AAAAAAA e assinando como Cyber..., o que representou, quis e logrou alcançar.

279. Para além disso, agiu o arguido bem sabendo que, ao introduzir credenciais de utilizadores do Jornal ..., que conheceu por falhas de segurança anteriores, verificando-se as mesmas como sendo as correctas, geraria uma série de ligações automáticas no sistema que lhe permitiria acesso à criação de publicações, algo que está vedado ao público em geral, o que conseguiu.

280. O arguido AA, agiu em conjugação de esforços com indivíduos não identificados, de modo a lançar ataque por SQL-Injection sobre o site da AL…, por forma a detectar uma vulnerabilidade que lhes permitisse a entrada no mesmo, o que conseguiu, entrando no sistema informático sem qualquer autorização.

281. Dentro do sistema, agiu o arguido, bem como os demais indivíduos, sempre em conjugação de esforços, em jeito de exploração, tendo levado à detecção de password de acesso à base de dados, reservada, que estava gravada de forma bem legível, com a qual entraram em espaço destinado à base de dados do site da AL…, em concreto, da agenda.

282. Tal entrada apenas foi permitida por ali terem aposto a password, acessível normalmente a quem tem autorização ao nível dos serviços de informática, e que sabiam funcionar no sistema, por se criar um engano quanto ao legítimo utilizador daquela senha.

283. Mais sabia o arguido AA, tal como os demais indivíduos que com ele actuaram, que ao introduzir linhas com um script na base de dados da agenda do site, provocariam, como efectivamente provocaram, a alteração da sua imagem, o que o arguido quis e conseguiu.

284. No caso do IMR, o arguido AA também actuou em conjugação de esforços com indivíduos não identificados, explorando as vulnerabilidades do seu site, para lograr a entrada na respectiva base de dados, o que sucedeu.

285. Mais agiu o arguido consciente de que ao captar e copiar o conteúdo de várias bases de dados, retirava daquele espaço, confinado e restrito a um número limitado de pessoas, informação contendo a identificação de cidadãos com nomes e endereços de correio electrónico, sem autorização e sem qualquer propósito legalmente definido.

286. Em todas as situações descritas, o arguido AA sabia que a realização de ataques de SQL-Injection, lhe permitiria vir a aceder a informação não pública contida nos servidores que atacou.

287. Sabia que, descobertas as vulnerabilidades e usando ferramentas informáticas para as explorar (introduzindo instruções específicas nos seus browsers), teria acesso directo ao sistema de bases de dados daqueles servidores, permitindo-lhe ler, modificar, apagar ou retirar toda a informação ali existente.

288. Explorando estas vulnerabilidades, o arguido logrou assim entrar no sistema de bases de dados dos servidores das várias entidades enumeradas supra.

289. Agiu o arguido, nas situações descritas, individualmente ou em comunhão de esforços com outros indivíduos não identificados, bem sabendo que os actos praticados eram proibidos e punidos por lei penal.

290. O arguido já foi condenado:

i. por acórdão transitado em julgado a 28.04.2021, pela prática, em 13.04.2018, de dois crimes de roubo, previstos e punidos pelo artigo 210.º, n.º 1, do Código Penal, na pena (única) de 6 meses de prisão, suspensa na sua execução pelo período de 2 anos, com regime de prova;

ii. por acórdão transitado em julgado a 24.05.2021, pela prática, em 24.06.2017, de um crime de sabotagem informática, previsto e punido pelo artigo 5.º, n.º 1, da Lei n.º 109/09, de 15 de Setembro, e dois crimes de acesso ilegítimo, previstos e punidos pelo artigo 6.º, n.º 1, do mesmo diploma legal, na pena (única) de 10 meses de prisão, suspensa na sua execução pelo período de um ano, com regime de prova.

Provou-se, ainda, relativamente às condições de vida do arguido:

291. AA foi preso preventivamente à ordem do presente processo, tendo permanecido no Estabelecimento Prisional ... de 30.04.2020 a 18.05.2020.

292. Posteriormente, esteve sujeito à medida de obrigação de permanência na habitação com vigilância eletrónica, de 18.05.2020 a 30.11.2020, data em que voltou a dar entrada no Estabelecimento Prisional ..., sujeito à medida de coacção de prisão preventiva, tendo sido afecto ao Estabelecimento Prisional ... a 31.12.2020.

293. O arguido encontra-se actualmente inscrito num Curso … de …, para obtenção do 9.º ano de escolaridade, não tendo outras ocupações estruturadas, apresentando tendência para se isolar do convívio com os restantes reclusos, permanecendo grande parte do tempo na sua cela.

294. A nível disciplinar, tem mantido um comportamento de acordo com as normas institucionais, sem registo de quaisquer infrações.

295. AA recebe visitas frequentes dos elementos da sua família de origem, em especial da mãe, que manifestam disponibilidade para o apoiarem.

296. Anteriormente à prisão, o arguido, juntamente com a mãe e o irmão uterino, integravam o agregado da avó materna, residindo numa moradia própria, sita num bairro da ....

297. O ambiente familiar caracteriza-se pela harmonia e a existência de laços de solidariedade e interajuda, mostrando-se os elementos mobilizados para apoiar o arguido nesta fase.

298. Ao nível económico, beneficiam de uma condição fragilizada, constituindo-se como únicos rendimentos do agregado a reforma da avó, de cerca de €350,00, e o salário do irmão.

299. Oriundo de uma família humilde e com baixo grau de escolarização, o processo de desenvolvimento do arguido decorreu maioritariamente junto dos pais, que se separaram quando ele se encontrava já na fase final da adolescência, tendo-se verificado períodos em que integrou o agregado de outros familiares, nomeadamente o da avó materna, devido à actividade laboral dos progenitores, que exploravam uma “roulotte” de venda de produtos alimentares.

300. Ainda assim, segundo o próprio, o referencial afectivo e educacional nunca deixou de ser os progenitores, existindo vinculação afectiva a ambos, a mãe, num registo de permissividade, que contrasta com a autoridade e rigidez do pai.

301. Com a entrada na adolescência, surgiram conflitualidades e dificuldades de relacionamento com o progenitor, que se mantêm no presente.

302. Ao nível escolar, registou desde cedo dificuldades comportamentais em contexto de sala de aula, assumindo a mãe incapacidade de contenção dos comportamentos do arguido.

303. Após avaliação clínica, foi diagnosticada ao arguido um transtorno do déficit de atenção e hiperatividade (TDAH), tendo o mesmo beneficiado de acompanhamento terapêutico regular durante o primeiro ciclo.

304. Contudo, com a passagem para o segundo ciclo e consequente mudança de escola, os comportamentos disruptivos do arguido agravaram-se, situação que o próprio e os pais atribuem à comunidade escolar, pela inabilidade de o motivar para uma conduta interessada e disciplinada.

305. Ademais, o arguido manifestava dificuldades em socializar e em integrar-se em grupo de pares, o que potenciou um elevado absentismo escolar e registos disciplinares, que culminaram no abandono escolar e na intervenção da EMAT de ....

306. No âmbito dessa intervenção, aos 16 anos, foi realizada uma tentativa de integrar o arguido no agregado de uma prima, com a obrigação de frequência de um estágio na empresa de informática do companheiro da mesma.

307. No entanto, tal foi inviabilizado pela incapacidade do arguido de cumprir os horários e regras impostas, tendo regressado à inactividade, passando a dedicar-se exclusivamente à utilização do computador e exploração da internet, em detrimento de outros aspectos da vida quotidiana, prejudicando as rotinas de alimentação e descanso, bem como da realização de outras tarefas.

308. Paralelamente, o arguido passou a isolar-se e a consumir estupefacientes (cabinóides), comportamento que manteve até à data da prisão.

309. Este contexto foi-se cimentando e agravando, sem que, por parte dos pais, tenha existindo capacidade para o contrariar, o que os mesmos reconhecem.

310. Numa nova tentativa de intervenção reestruturadora do quotidiano do arguido, surge a medida de acolhimento residencial, aplicada judicialmente no âmbito de um processo de promoção e proteção, e que determinou a sua integração na ART (Associação de Respostas Terapêuticas) de ..., onde permaneceu entre 19.02.2018 e 31.05.2019.

311. Todavia, o arguido manifestou acrescidas dificuldades de adaptação, tendo registado uma ausência ilegítima de seis dias, em que viveu como sem-abrigo, não dispondo de qualquer apoio ou meio de subsistência.

312. Foi neste contexto que surgiram os primeiros contactos com o sistema de justiça, tendo sido condenado no âmbito do primeiro dos processos supra referidos.

313. Alguns meses após o regresso à instituição, o arguido acabou por estabilizar e aderir ao projecto educativo que lhe foi proposto, que incluía frequência escolar, tendo concluído o 6.º ano de escolaridade.

314. Ainda assim, manifestou até ao fim da medida dificuldades ao nível da socialização e do cumprimento de regras, decorrentes da sua imaturidade e instabilidade comportamental, que contrastavam com o reconhecimento das suas elevadas capacidades cognitivas.

315. Tal contexto parece ter potenciado que se refugiasse nos meios tecnológicos de forma intensiva, num contexto de aparente adição. Neste sentido, o arguido assume um total desinteresse no convívio com terceiros, verbalizando estabelecer relações virtuais apenas numa perspectiva de aprendizagem e evolução ao nível dos conhecimentos de informática.

316. Ao nível laboral, para além da experiência sem sucesso na empresa da prima, o arguido desempenhou funções durante quatro meses numa empresa de armazenamento de produtos hortícolas, vindo também aqui a ser despedido por incumprimento de horários, encontrando-se inactivo desde Novembro de 2019.

317. Em termos futuros, AA perspectiva dar continuidade à actividade na área de informática que tem vindo a desenvolver como autodidacta, ainda que tenha denotado interesse em aumentar a sua escolaridade de forma a viabilizar a sua integração laboral nessa área.»


B. Matéria de direito

1.  O arguido recorreu do acórdão proferido em primeira instância tendo apresentado apenas duas questões, como expressamente refere:

- a relativa ao “indeferimento da realização de Exame Pericial Psiquiátrico ao arguido”, e

- a relativa à “não aplicação do Regime Penal Especial para Jovens”.

2. Compulsados os autos, verifica-se que o recurso foi interposto para o Tribunal da Relação de Lisboa; todavia, por despacho do Meritíssimo Juiz do Tribunal Judicial da Comarca de Lisboa, por se considerar que o recurso versava somente matéria de direito, e por o arguido ter sido punido com pena superior a 5 anos de prisão, considerou-se competente para conhecimento do recurso o Supremo Tribunal de Justiça.

Todavia, pensamos que assim não é.

Em primeiro lugar, porque o recurso apresentado da decisão que indeferiu a realização da perícia não constitui um recurso de uma decisão que conheça a final do objeto do processo, pelo que é inadmissível o recurso para o Supremo Tribunal de Justiça, nos termos do art. 400.º, n.º 1, al. c), do CPP.

Poder-se-ia considerar que, considerando-se o despacho inicial transitado em julgado, e não sendo por isso admissível o recurso, quanto ao resto o Supremo Tribunal de Justiça seria competente. Porém, não é essa a razão referida no despacho citado que remeteu os autos para este Supremo Tribunal.

Além disto, é certo que houve um requerimento do arguido para que fosse realizada uma perícia psiquiátrica, e houve um despacho a 13.07.2021 nos seguintes termos:

«Tendo em consideração os elementos de prova junto aos autos, designadamente, os autos de exame forense aos vários equipamentos informáticos apreendidos, indefere-se a realização de perícia informática como solicitado pela defesa, sem prejuízo, caso se mostre necessário o Tribunal determinará a sua realização, após o início de produção de prova.

*

Dos autos nada se retira que o arguido padeça de doença do foro psiquiátrico ou que no momento da prática dos factos que lhe são imputados fosse portador de uma anomalia grave que o tornasse incapaz de avaliar a ilicitude dos factos ou de se determinar de acordo com essa mesma avaliação, sendo certo que, a circunstância de se ser portador de uma qualquer patologia psiquiátrica não torna o agente por si só, inimputável.

Pelo que, por ora, não se vislumbrando pertinência no requerido, indefere-se o solicitado, sem prejuízo, de a mesma ser ordenada caso se mostre necessário, após o início de produção de prova.

Notifique.» (Ref.Citius …91)

Tendo em conta que relativamente às duas perícias solicitadas o Tribunal considerou que naquele momento seria de indeferir a sua realização, certo é que, também em ambos os casos, o Tribunal deferiu para mais tarde a eventual possibilidade de estas serem realizadas.

E por isso no acórdão recorrido foi novamente deliberado que:

«Da requerida (pela defesa) realização de exame pericial psiquiátrico ao arguido e, bem assim, de perícia informática (aos vários equipamentos informáticos apreendidos).

Diga-se, desde já, que, na sequência da realização da audiência de julgamento, não sobreveio qualquer elemento novo susceptível de alterar a decisão anteriormente proferida pelo Tribunal sobre estas mesmas questões (cfr. despacho de fls. 1892).

Conforme resulta do disposto no artigo 351.º, do Código de Processo Penal, a questão da inimputabilidade ou imputabilidade diminuída do arguido deve ser suscitada “fundadamente”, ou seja, baseada em factos concretos atinentes ao comportamento do arguido que fazem nascer uma dúvida plausível sobre a capacidade do mesmo de entender e querer a sua própria conduta.

Ora, apesar do arguido não ter prestado declarações no decurso do julgamento, fê-lo em sede de primeiro interrogatório judicial de arguido detido (e interrogatórios judiciais subsequentes), constatando-se que o mesmo estava perfeitamente consciente e orientado, tendo respondido de forma clara para os seus destinatários/interlocutores, não evidenciando quaisquer dificuldades em comunicar e compreender as perguntas que lhe foram sendo feitas, quer as respeitantes à materialidade e gravidade da sua actuação, quer à sua intencionalidade, tomando posição sobre essas questões. Acresce que, da prova produzida em juízo (testemunhal, documental e pericial), também não resultaram quaisquer elementos que permitam fundadamente suscitar a – mínima – dúvida sobre a inimputabilidade ou sequer a imputabilidade diminuída do arguido.

Por outro lado, verifica-se, do simples cotejo dos apensos n.ºs. 15, 28 e 30, que foram realizados os exames periciais/forenses aos equipamentos informáticos apreendidos ao arguido, não tendo os respectivos relatórios/conclusões sido postos em causa, nem se vislumbra, uma vez realizada a audiência de julgamento, a necessidade de ser ordenada qualquer outra diligência complementar de índole pericial.

Nestes termos, e sem necessidade de quaisquer outros considerandos, vai indeferido o requerido.»

É esta a última decisão (referida expressamente no ponto 43 da motivação e, portanto, dela recorrendo; cf. também ponto 44 da motivação), integrada no acórdão recorrido, que se refere à não realização das perícias requeridas pelo arguido. No entanto, não é admissível o recurso para o Supremo Tribunal de Justiça desta parte da decisão atento o disposto no arts. 432.º, n.º 1, al. b) e 400.º, n.º 1, al. c), ambos do CPP.

Acresce referir que o arguido no seu recurso colocou em dúvida a sua imputabilidade afirmando (transcrevemos apenas algumas passagens): “dúvidas não restam que desde o primeiro momento da investigação foi assumido a possibilidade do arguido sofrer efetivamente do Síndrome de Asperger” (ponto 15 da motivação); “eram vários os elementos, os momentos processuais que apontavam para a possível disfunção mental do arguido, síndrome de autismo mitigado conhecido por ASPERGER.” (ponto 19 da motivação); “estamos perante alguém com uma disfunção mental que no caso concreto eleva as suas capacidades cognitivas para um determinado interesse específico” (ponto 28 da motivação).

Além disto, impugna expressamente o facto provado 137: “Não tendo prestado declarações em Audiência de Julgamento, nem se percebe como o MM.o Tribunal A QUO pode dar por provado o ponto 317, ou seja, que o AA perspective dar continuidade à actividade na área de informática que tem vindo a desenvolver como autodidacta, ainda que tenha denotado interesse em aumentar a sua escolaridade de forma a viabilizar a sua integração laboral, pois o arguido nunca o disse perante o JIC, o que afirmou, de contrário, é que queria trabalhar para a Polícia Judiciária, numa perspetiva ficcional de que seria considerado e coaptado por esta Polícia como um expert.” (ponto 58 da motivação).

E impugna ainda, na conclusão p) do recurso, outros factos provados: “Foram, pois, ignorados claros sinais de evidente patologia do foro psiquiátrico do arguido, apear dos elementos considerados provados nos parágrafos 291 a 317”.

Assim sendo, não podemos considerar que o recurso seja restrito a matéria de direito, pelo que o recurso não pode ser conhecido pelo Supremo Tribunal de Justiça, por se mostrar incompetente, por força do disposto no art. 434.º, do CPP.

Nestes termos, a competência para conhecer do recurso interposto cabe ao Tribunal da Relação de Lisboa.

III

Conclusão

Nos termos expostos, acordam em conferência na secção criminal do Supremo Tribunal de Justiça em declarar incompetente, em razão da matéria, o Supremo Tribunal de Justiça para conhecer do recurso interposto pelo arguido AA e determina‑se que os autos sejam enviados ao Tribunal da Relação de Lisboa, por ser o competente para dele conhecer.

Transitado em julgado remetam-se os autos ao Tribunal da Relação de Lisboa.

Supremo Tribunal de Justiça, 23 de junho de 2022

Os Juízes Conselheiros,

Helena Moniz (Relatora)

António Gama

Eduardo Loureiro

_________________________________________________________


[1] Despacho com a Ref.ª Citius ….91.
[2] Requerimento com a Ref.ª Citius …00.
[3] Despacho com a Ref.ª Citius …91.
[4] O que, entre o mais, resulta do facto de ter sido ele próprio vítima de hacking, como resulta do Documento n.º 38 junto à queixa das Recorrentes.
[5] Um termo antecedido de um cardinal que é utilizado nas redes sociais para direcionar o utilizador para um certo tópico e que funciona como um link, de modo que, quando se clique naquele termo, sejamos direccionados para várias publicações que o refiram.
[6] Cf. Documento n.º 17 junto à queixa das Recorridas.
[7] Cf. Documento n.º 15 junto à queixa das Recorridas.
[8] Acórdão do STJ, de 22.09.2021, Proc. n.º 797/14.0TAPTM.E2.S1.
[9] Acórdão do TRL, de 30.10.2018, Proc. n.º 881/18.1SDLSB.L1-5. No mesmo sentido, cf., PAULO PINTO DE ALBUQUERQUE, Comentário do Código de Processo Penal à luz da Constituição da República e da Convenção Europeia dos Direitos do Homem, Lisboa: Universidade Católica Editora, 4.ª ed., 2011, pp. 903-904.
[10] Cf., PAULO PINTO DE ALBUQUERQUE, Comentário do Código de Processo Penal à luz da Constituição da República e da Convenção Europeia dos Direitos do Homem, cit., p. 904.
[11] Acórdão do STJ, de 31.03.2011, Proc. n.º 169/09.9SYLSB.S1.
[12] Veja-se, a título exemplificativo, o seguinte: https://www.cm-tv.pt/atualidade/detalhe/grupo-de-piratas-informaticos-expoe-rede-internacional-de-pedofilia.
[13] [No original nota 1] Disponível em https://c...
[14] [No original nota 2] Disponível em https://...
[15] [No original nota 3] Disponível em https://...
[16] [No original nota 4] Disponível em https://...
[17] [No original nota 5] Disponível em https://...
[18] [No original nota 6] Disponível em https://...
[19] [No original nota 7] Disponível em https://...