by: Tiago MartinsPosted on:

Investigação Financeira IV: Lawful Hacking

A investigação financeira possui estreita relação com a possibilidade do Estado coletar evidências digitais na medida em que, atualmente, a grande maioria das transações financeiras deixam algum rastro digital.

Na primeira postagem deste blog (1), destacava-se essa importante intersecção. As postagens que se seguiram sobre o mercado de criptoativos e cibercrime seguem a mesma lógica.

As principais evidências em investigações financeiras contemporâneas são digitais.

E há limites legais e tecnológicos para a capacidade do Estado em coletar evidências digitais. Quando essas limitações comprometem a capacidade dos órgãos de investigação e persecução penal fazerem seu trabalho, fala-se que há um problema de obscurecimento (going dark).

Uma das soluções apresentadas pelos Estados para esse problema é o emprego de spywares em investigações criminais, um dos assuntos mais controversos em tema de investigações criminais tecnológicas.

Going Dark Problem

Os criminosos atualizam continuamente suas técnicas para incorporar as mais recentes tecnologias emergentes em seu modus operandi. O crime organizado é sempre o primeiro a adotar a tecnologia. Os criminosos adotaram o mundo online muito antes que a polícia pudesse ao menos ter contemplado a ideia e, desde então, estão sempre um passo a frente das autoridades (2).

A lei não acompanhou o ritmo da tecnologia e essa desconexão tem criado um significativo problema de segurança pública. Se por um lado, as autoridades públicas se encontram cada vez mais no escuro, crimes graves – como terrorismo, pedofilia online, tráfico de drogas etc – são cometidos invariavelmente com um importante componente tecnológico.

O FBI chama o descompasso entre a tecnologia e a legislação de “obscurecimento” (going dark). Os agentes da lei, que tem a responsabilidade de investigar crimes, nem sempre têm acesso às provas necessárias para processar crimes e prevenir o terrorismo. Em muitos locais, os agentes da lei tem autorização legal para interceptar e acessar comunicações e informações de acordo com ordens judiciais, mas muitas vezes não tem a capacidade técnica para isso (3).

Desde 2014, as agências de investigação se deparam com o cenário em que suas capacidades de interceptação de conversas estão ficando obscurecidas como resultado de novas formas de criptografia introduzidas por padrão em serviços e produtos de amplo consumo – tais como a criptografia de ponta-a-ponta dos mensageiros e a criptografia sobre dados em repouso de dispositivos – sem que as empresas possuam acesso às chaves de desencriptação.

Para os problemas do obscurecimento, várias soluções foram aventadas, desde o radical banimento desse tipo de criptografia, passando por obrigar as empresas a manterem um backdoor, que seria fornecido às autoridades à vista de uma ordem judicial, até obrigar o investigado a fornecer as chaves, sob pena de ser processado em caso de negativa. Nenhuma dessas soluções avançou significativamente por esbarrarem em considerações importantes sobre os direitos fundamentais dos usuários.

Outra solução apontada para o problema advindo do obscurecimento, sem comprometer a criptografia, foi reinventar a investigação criminal.

Pesquisadores entendem exagerada a metáfora do obscurecimento porque ela sugere que as comunicações estão ficando fora de alcance de forma inexorável: uma abertura está se fechando e quando fechar, estaremos cegos (4). Essa imagem não retrata a situação atual e a trajetória do desenvolvimento tecnológico.

Certamente, serviços de criptografia e aqueles que ocultam o provedor dificultam as investigações em alguns casos, mas o cenário é muito mais variado do que sugere a metáfora. Para esses pesquisadores, sempre haverá bolsões de penumbra e alguns pontos cegos – canais de comunicação que resistem à investigação estatal –, mas isso não significa que estamos ficando completamente “no escuro”.

Algumas áreas estão mais iluminadas agora do que no passado e outras estão ficando mais claras. Em particular, eles apontam três tendências que facilitam o acesso de agentes da lei a dados:

a) o modelo de negócios de muitas empresas depende do acesso a dados de usuários;

b) cada vez mais, produtos são oferecidos como serviços e as arquiteturas se tornaram mais centralizadas por meio de computação em nuvem e centros de processamento de dados – um serviços que implica relação contínua entre fornecedores e usuários, se presta muito mais ao monitoramento e ao controle do que um produto, em que a tecnologia é comprada uma vez e usada sem outras interações com o fornecedor; e

c) a Internet das Coisas abriu uma nova fronteira para conectar em rede objetos, máquinas e ambientes.

Uma das formas mais promissoras de reinvenção da investigação criminal em face do problema do obscurecimento é o emprego de tecnologia de ponta por autoridades de aplicação da lei, conforme as possibilidade legais da legislação de cada país.

O emprego dessas tecnologias por agentes do Estado, dentro das possibilidade legais e sob rigorosa supervisão judicial, indica o caminho possível para que se consiga investigar criminosos cada vez mais tecnológicos.

Uma dessas tecnologias são os spywares.

Spyware

Spyware é espécie de malware e representa um software inserido em sistema de computador, sem o conhecimento do usuário, com o objetivo de acessar dados armazenados ou interceptar dados de tráfego, emitidos ou recebidos (5).

O mais famoso spyware é o Pegasus, cujo estudo de caso, dado o grande escrutínio público a que vem sendo submetido nos últimos dois anos, representa uma oportunidade de se abordar o emprego de spywares em investigações criminais.

O Pegasus é um software desenvolvido pela empresa israelense NSO Group e vendido para agências governamentais para uso antiterrorista e policial. O preço estimado do Pegasus, em 2016, era $600.000 por ano, mais taxa de instalação de $500.000, para um sistema capaz de rastrear 10 alvos simultaneamente.

As funcionalidades do Pegasus foram descritas em algumas fontes fidedignas de informação. O European Data Protection Supervisor lançou em 2022 um relatório denominado Preliminary Remarks on Modern Spyware, elencando as seguintes funcionalidades (6).

Primeiro, ele obtém privilégios de administrador dentro do sistema de computador alvo. Com isso, ele pode acessar os dados de computador armazenados no aparelho celular (tais como textos, e-mails, pesquisas na web, fotos, vídeos etc), realizar interceptação dos dados de tráfego do sistema de computador (tais como chamadas telefônicas, localização por GPS etc.) e acessar remotamente microfone e câmera do aparelho celular.

Segundo, o Pegasus pode realizar ataque de zero-click (zero-click attack), ou seja, o software pode interagir com o sistema de computador sem que o usuário alvo precise realizar nenhuma ação – sem solicitação de instalação, apresentação de telas, download de aplicativos ou requisição de ações. Basta que o operador da ferramenta saiba algum identificador relacionado ao alvo (número de telefone, e-mail, nome de usuário em mídia social etc.), que o Pegasus conseguiria infectar o dispositivo utilizado.

Terceiro, a invasão do Pegasus é difícil de detectar, a menos que sistema operacional seja alimentado por mecanismos seguros de registro do sistema. Pesquisadores suspeitam que as versões recentes do Pegasus atuam apenas na memória temporária do telefone e não no disco rígido, significando que, uma vez desligado, os vestígios do software desaparecem. Além disso, a computação em nuvem permitiu a empresas que vendem spyware instalem sua infraestrutura de ataque na nuvem, sem a necessidade de o cliente do spyware instalar uma ferramenta específica.

Também em 2022, o Conselho da Europa elaborou o documento Pegasus Spyware and its impacts on human rights, descrevendo as formas como o ele infecta o dispositivo (7). Segundo ele, o spyware pode infectar os telefones dos alvos através de uma variedade de mecanismos. Alguns envolvem uma mensagem (SMS, iMessage, WhatsApp, e-mail) com um link para um site. Quando clicado, esse link fornece software malicioso que infecta o dispositivo.

Outros usam o já citado ataque zero-click (zero-click attack), também denominado exploração zero-click (zero-click exploit), onde vulnerabilidades em serviços de mensagens, por exemplo, permitem a infecção simplesmente recebendo uma mensagem e nenhuma interação do usuário é necessária.

O Pegasus também usa “injeções de rede” (network injections). A navegação na web de um alvo pode deixá-lo vulnerável a ataques sem a necessidade de clicar em qualquer link malicioso. Essa abordagem envolve esperar que o alvo visite um site que não esteja protegido durante suas atividades online normais. Depois de visitar um site desprotegido, o software de injeção pode interceptar a transação e desencadear uma infecção.

Além desses mecanismos, há a opção manual: se um agente conseguir obter acesso físico ao telefone alvo, o spyware pode ser instalado manualmente.

Em todas as abordagens de infecção, o objetivo do Pegasus é obter controle total do sistema operacional do dispositivo móvel por root (em dispositivos Android) ou jailbreak (em dispositivos Apple iOS). O root e o jailbreak removem os controles de segurança incorporados nos sistemas operacionais e, eventualmente, permitem que ele execute o código modificado. No caso de spyware, assim que um dispositivo é desbloqueado, o intruso pode implantar outro software para proteger o acesso remoto aos dados e funções do dispositivo. É provável que o usuário permaneça completamente inconsciente, a menos que ocorram comportamentos inadequados perceptíveis.

Uma vez instalado, o Pegasus pode, teoricamente, coletar quaisquer dados do dispositivo e transmiti-los de volta ao invasor. O Pegasus pode executar qualquer código que desejar no dispositivo do alvo, usar a câmera e o microfone do dispositivo por comandos remotos em tempo real, extrair contatos, registros de chamadas, pesquisas na web, histórico de navegação na web, mensagens de texto, fotos, vídeos, configurações, registros de localização, como bem como informações de aplicativos como iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram, Skype e outros. O Pegasus também monitora as teclas digitadas em um dispositivo infectado, todas as comunicações escritas, incluindo senhas, ficam visíveis para o invasor.

O spyware Pegasus opera por meio de violação de mecanismos de segurança e explorando vulnerabilidades não corrigidas de sistemas de computador, motivo pelo qual somente pode ser utilizado em circunstâncias estritas e sob rígida supervisão judicial.

Existem outros softwares que propagam possuir funcionalidades semelhantes ao Pegasus, tais como Omnigo, eFORCE Software Suite, Mark43 Platform, Spillman Records Management, FirstTwo, PowerDMS, Nuance, CrimeSoft, Asset Panda and Dynamic Public Safety (8).

Lawful Hacking?

Essa modernização das tecnologias para investigações criminais é, por vezes, referida como lawful hacking, ou government hacking, que consiste na implantação, por autoridades investigativas, de ferramentas que permitem a invasão de sistemas de computadores, possibilitando o acesso ao seu conteúdo (9).

Rejeita-se essa expressão em decorrência do caráter intrinsecamente ilegal do hacking. Usa-se o termo hacking como “uma situação em que alguém abusa de sua autoridade para acessar ilegalmente uma rede de informações enquanto usa um computador ou outro dispositivo de processamento de informações(10).

Ainda que envolva tecnologia nova, como spywares, o seu emprego legal e proporcional não configura um hacking. Antes, o emprego dessas tecnologias pode se enquadrar, conforme a legislação nacional de cada país, como técnicas especiais de investigação, ou seja, uma forma de coletar informações sem que o conhecimento do alvo.

É evidente que essas técnicas especiais de investigação precisam ser previstas em lei e se submeterem a rigorosa supervisão judicial em cada investigação em que a tecnologia for indicada para uso. Não se quer, em absoluto, a repetição de casos de emprego ilegal (hacking) dessas tecnologias, como noticiado nos últimos anos.

Considera-se legítima a preocupação com os empregos ilícitos de intrusão por spywares que está sob escrutínio das autoridades europeias de proteção de dados desde, pelo menos, o ano de 2015. O caso de emprego ilícito do spyware Pegasus obteve grande repercussão, sobretudo após a divulgação da sequência de reportagens denominada Pegasus Project, e contribuiu para a elaboração de estudos cada vez mais aprofundados sobre o assunto (11).

Usadas dentro das hipóteses legais e com ampla capacidade de supervisão judicial e aditabilidade, o emprego de novas tecnologias em técnicas especiais de investigação não representa restrição ilegítima a direitos fundamentais. É justamente o controle legal e democrático sobre o emprego da tecnologia que diferencia o seu emprego para fins legítimos do Estado daquele estado de coisas ilegal que normalmente se chama de tecnoautoritarismo (12).

Neutralidade Tecnológica das Técnicas Especiais de Investigação

A Constituição Federal assegura a preservação da intimidade, do sigilo das comunicações telemáticas (art. 5º, XII) e dos dados pessoais, inclusive em meios digitais (LXXIX). Tal proteção pode ser afastada “por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal”.

Tais técnicas especiais de investigação estão previstas, para crimes cibernéticos e outros dependentes da coleta eletrônica de evidências na Convenção de Budapeste (art. 14, CB) e em normas nacionais, plenamente compatíveis entre si e com a Constituição Federal de 1988, como destaquei em outra postagem (13).

A neutralidade tecnológica das tecnologias empregadas nas técnicas especiais de investigação, tais como adianta descritas, não impõe que elas sejam sempre empregadas com o auxílio de um terceiro – tal como algum provedor de conexão, de aplicação ou empresa de telefonia. A lei não impõe intermediário algum, como se garante fosse, às técnicas de coleta de provas, desde que o Estado possa realizar a atividade diretamente com a garantia de sua cadeia de custódia. O que interessa, como se verá, é a auditabilidade da atividade estatal e a existência de ordem judicial.

Afastamento de Sigilo Telemático

O acesso a dados de computador pode ocorrer para obtenção de acesso prospectivo das comunicações em fluxo (via provedores de acesso ou infiltração, em modalidades de interceptação telemática) ou por acesso retrospectivo às comunicações armazenadas nos provedores de conexão, nos provedores de aplicação ou, ainda, em dispositivos eletrônicos dos usuários.

Tal diferença foi destacada na Lei n. 12.850/2013, quando tratou sobre a investigação criminal e meios de obtenção de provas relacionados às organizações criminosas, ao dispor sobre o acesso a registros de ligações telemáticas (art. 3º, inciso IV), ao lado da interceptação de comunicações telemáticas (art. 3º, inciso V).

Os dados armazenados em sistema de computador podem ser acessados na forma dos art. 7º, III, e art. 10, § 2º, da Lei n. 12.965/14 – Marco Civil da Internet. Atendidos esses requisitos, basta que a autorização judicial seja comunicada às empresas responsáveis pelos serviços telemáticos, configuradas pelo Marco Civil da Internet como provedores de internet. Esse procedimento atende aos dados armazenados nos provedores de conexão e nos provedores de aplicação. A partir desse ordem judicial, pode-se acessar dados de computador que estão em posse de provedores de conexão (tais como data, hora e IP) e de provedores de aplicação (conteúdo de e-mails, serviços de nuvem etc).

dados de computador, porém, que estão armazenados apenas em sistemas de computador do investigado (ex: smartphone, computador, HD externo), não em posse de provedores de conexão ou de aplicação. Se a investigação necessitar acessar tais dados, ela precisa coletar os dados diretamente do sistema de computador.

Em casos em que o sistema de computador não está conectado na internet, nada há a fazer senão acessá-lo fisicamente. Para isso, a apreensão de mídias em buscas judicialmente autorizadas, na forma do arts. 240 a 250 do Código de Processo Penal.

Mesmo para dispositivos conectados a internet, até o advento dos modernos spywares para a captura desses dados, a solução possível em investigações estatais era realizar uma busca e apreensão tradicional, tentar encontrar o sistema de computados (ex: celular), tentar realizar a extração física de seus dados para, só então, analisar seu conteúdo. O processo era demorado e incerto, pois não raras vezes o celular podia ser escondido pelo alvo, destruído por ele ou simplesmente estava protegido por senha que impedia a extração dos dados.

O que o emprego do spyware permite é o acesso ao celular remotamente, com grau de certeza e sucesso avançados. Havendo ordem judicial e rígido controle sobre o emprego da ferramenta, o acesso a dados de computador armazenados a sistemas de computador não acessíveis diretamente ao Estado pode ser feito legalmente por meio de emprego de uma tecnologia de spyware.

Interceptação Telemática

O Brasil possui norma constitucional prevendo a possibilidade de interceptação do fluxo de dados telemáticos (art. 5º, inciso XII, CF) e lei que regulamentou o dispositivo (Lei n. 9.296/96), posteriormente complementada por resoluções do Conselho Nacional de Justiça e do Conselho Nacional do Ministério Público. A “interceptação do fluxo de comunicações em sistemas de informática e telemática”, definido na lei, trata efetivamente de dados de tráfego, como definido na Convenção de Budapeste.

A lei nacional realiza juízo de proporcionalidade na restrição dos direitos fundamentais ao estabelecer as hipóteses de interceptação: houver indícios razoáveis da autoria ou participação em infração penal; a prova não puder ser feita por outros meios disponíveis; e o fato investigado constituir infração penal punida com pena de reclusão. Em qualquer hipótese, as autoridades de investigação devem descrever com clareza a situação objeto da investigação, com a indicação e qualificação dos investigados, salvo impossibilidade manifesta, devidamente justificada (art. 2º).

Para operacionalização da interceptação telemática, a Lei n. 9.296/96 é tecnologicamente neutra, ao indicar que o pedido da polícia ou do Ministério Público “conterá a demonstração de que a sua realização é necessária à apuração de infração penal, com indicação dos meios a serem empregados” (art. 4º). O legislador anteviu que não havia como prever em lei ferramentas tecnológicas que realizassem a interceptação e delegou a polícia e ao Ministério Público a indicação dos meios de interceptação.

Em seguida, a Lei n. 9.296/96 prevê que o magistrado decidirá fundamentadamente, “indicando também a forma de execução da diligência” (art. 5º). Deferido o pedido, a autoridade policial conduzirá os procedimentos de interceptação, dando ciência ao Ministério Público, que poderá acompanhar a sua realização (art. 6º).

Não há restrições legais ao emprego de tecnologias para interceptação telemática no Brasil. Havendo indicação dos meios no pedido (art. 4º) e decisão judicial autorizando o emprego daquela forma de execução da diligência (art. 5º), a medida será legal e a prova produzida válida.

Ademais, o art. 9º da mesma lei esclarece que os dados não importantes à prova serão inutilizados por decisão judicial, medida necessária em caso de o spyware capturar dados que ultrapassem a necessidade da investigação. Trata-se de medida coincidente com as cautelas da Lei Geral de Proteção de Dados (art. 16) sobre eliminação de dados após o término do tratamento.

Os questionamentos se transferem para outro sentido: spywares são capazes de restringir seu alcance apenas aos alvos investigados?

Nesse caso, a demonstração da viabilidade dessas tecnologias para restringir o seu alcance a apenas os alvos é um dos pontos fundamentais e serem indicados pelas autoridades de investigação no momento da indicação dos meios no pedido (art. 4º) e apreciadas na decisão judicial autorizando o emprego daquela forma de execução da diligência (art. 5º). Se algum spyware não puder ter demonstrada essa capacidade de restrição de alvos, ele não poderá ser empregado pois enseja grave violação de direitos fundamentais.

Outra consideração importante diz respeito à necessidade da ferramenta tecnológica empregada para a interceptação telemática não comprometer, com seus métodos de intrusão, a integralidade da prova. Se alguma tecnologia não possuir capacidade de manutenção da integralidade da prova contra manipulação dos agentes públicos, essa ferramenta não pode ser empregada.

Em duas oportunidades, o Superior Tribunal de Justiça invalidou provas de interceptação telemática que, com as técnicas empregadas, permita, em tese, que o agente público interferisse na integralidade da prova.

No RHC n. 99.735-SC, relatora Ministra Laurita Vaz, Sexta Turma, julgado em 27/11/2018, a coleta dos dados do aplicativo WhatsApp pela polícia ocorreu mediante apreensão judicialmente autorizada de celular e subsequente espelhamento das mensagens recebidas e enviadas em outro computador por meio da funcionalidade WhatsApp Web.

O segundo caso anulação de provas por emprego de técnica que não podia garantia a integralidade da prova ocorreu no REsp n. 1.806.792/SP, também relatado pela Ministra Laurita Vaz, julgado em 11/5/2021. Pretendeu-se que a operadora de telefonia, quando acionada, habilitasse o chip do agente investigador, em substituição ao do usuário, a critério da autoridade policial, que teria pleno acesso, em tempo real, às chamadas e mensagens transmitidas para a linha originária, inclusive via WhatsApp. No caso, mais uma vez, invalidou-se a prova pela possibilidade potencial de os agentes da lei interferissem na integralidade da prova.

Captação Ambiental

Uma das funcionalidades dos spywares é o acesso à câmera e ao microfone do sistema de computador.

Nesse caso, se o spyware permite a captação de dados de áudio e vídeo a partir do acesso à câmera e ao microfone, a técnica especial de investigação correspondente na legislação nacional é a captação ambiental de sinais eletromagnéticos, ópticos ou acústicos, com previsão no artigo 8º-A da Lei nº 9.296/1996, incluído pela Lei n. 13.964/2019.

Infiltração Virtual

Ante as funcionalidades descritas acima da tecnologia de spyware, pode-se antever o seu emprego para, legitimamente, realizar infiltrações virtuais, tal como descrito na técnica especial de investigação prevista na legislação brasileira.

O agente virtual infiltrado é técnica adequada, por exemplo, a investigação de redes sociais fechadas ou grupos limitados de pessoas utilizando-se de aplicativos de mensagens. Nesses casos, o uso de spyware é mais eficaz para obter essas mensagens sem a necessidade de atuação de um agente real, que precisa de tempo para ganhar a confiança dos demais usuários para ser admitido no círculo fechado dessas pessoas, estando sujeito a ser descoberto caso cometa algum deslize e muitas vezes sendo obrigado a cometer infrações penais, desde que autorizado judicialmente para tanto (14).

O spyware é, portanto, uma alternativa a ser utilizada quando não há tempo para que um agente real se imiscua no grupo criminoso de forma a ser aceito e passe a ter acesso à comunicação do grupo.

A infiltração tradicional não é um método que pode ser banalizado, pois é lento e traz sérios riscos à integridade física do agente policial. A infiltração virtual, embora também seja lenta, minimiza esses riscos e também é eficaz para as redes virtuais, nas quais nem sempre há um grupo organizado, ou seja, muitas vezes, embora o ambiente seja restrito, os próprios integrantes não se conhecem pessoalmente.

No Brasil, a infiltração de agentes está minuciosamente descrita nos arts. 10 a 14 da Lei n. 12.850/13 – Lei de Combate ao Crime Organizado, com redação da Lei nº 13.964/19, e nos arts. 190-A a 190-E do Estatuto da Criança e do Adolescente, com redação da Lei n. 13.441/17.

Em ambos os casos, os limites da infiltração virtual de agentes também são fixados por decisão judicial, semelhante à interceptação telemática.

Experiências Internacionais

A discussão europeia remete a caso decidido pela Corte Constitucional alemã em 2008, tratou sobre um novo direito fundamental relacionado à privacidade: o direito à confidencialidade e à integridade dos sistemas informáticos.

Segundo analisado por Laura Schertel Mendes (15), o caso dizia respeito à análise de constitucionalidade da lei do Estado de Nordrhein-Westfalen, que permitia às autoridades locais de inteligência fazerem a busca remota de informações e o monitoramento online de computadores de suspeitos de cometerem práticas criminosas.

O Tribunal alemão declarou inconstitucional a lei sob o fundamento de violação do direito geral à personalidade protegido constitucionalmente. Em vez de aplicar o direito à autodeterminação informativa, que já estava consolidado na sua jurisprudência e que fundamentava inclusive a ação ajuizada, a Corte extraiu do direito geral à personalidade (Art. 2, I, c/c Art. 1, I, da Lei Fundamental alemã) um direito fundamental à garantia da confidencialidade e da integridade dos sistemas informáticos (Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme).

Segundo ele, o objeto da proteção constitucional é o próprio sistema informático pessoal, e por consequência o indivíduo que o utiliza. O julgamento esclareceu que a infiltração dos sistemas informáticos não estaria completamente vedada pela Lei fundamental alemã, mas somente poderia ser realizada se presentes determinadas condições: a existência de uma base legal específica, a emissão de autorização judicial e a identificação de um perigo concreto a um bem jurídico fundamental, como a vida e a liberdade individuais ou a segurança da coletividade.

De toda forma, ainda que atendidos esses requisitos, em nenhuma hipótese poderia tal monitoramento violar o núcleo da intimidade e das formas de vida privada do indivíduo. Isso significa que medidas adicionais de segurança devem ser adotadas para que informações íntimas e excessivas não sejam coletadas durante a infiltração ou – caso isso não seja possível – que tais informações sejam descartadas ou desconsideradas no processo de avaliação dos dados.

O European Data Protection Supervisor possui relatório de 2022 específico sobre o spyware Pegasus denominado Preliminary Remarks on Modern Spyware (6). Nesse documento, consigna-se que a interceptação de comunicações é regulamentada na legislação nacional de praticamente todos os Estados-Membros da UE. As condições legais e salvaguardas para a utilização da vigilância digital e intercepção de comunicações foram objeto de ampla análise e interpretação tanto pela Corte de Justiça da União Europeia (Court of Justice of the European Union, CJEU) como pela Corte Europeia de Direitos Humanos (European Court on Human Rights).

Em particular, no julgamento dos processos C-511/18 e C512/18 (La Quadrature du Net e outros), a Corte esclareceu a aplicabilidade do direito da UE a certas medidas adotadas por motivos de segurança nacional. Nesse julgado, uma grave ameaça à segurança nacional, real e presente ou previsível, poderia justificar gravíssimas ingerências em direitos fundamentais, sujeitas a estritas condições e garantias. Isso implica a necessidade de uma avaliação combinada e baseada em fatos da eficácia da medida para o objetivo perseguido e se é menos intrusiva em comparação com outras opções para atingir o mesmo objetivo.

O EDPS anota algumas reportagens noticiando que certas funcionalidades do Pegasus podem ser desativadas, a fim de limitar o caráter intrusivo da ferramenta, o que pode ter impacto no resultado da avaliação da proporcionalidade e da necessidade.

O Alto Comissariado das Nações Unidas para os Direitos Humanos entende que, dados os impactos adversos substanciais do uso de spywares, seu uso deve ser limitado aos casos em que serviriam para prevenir ou investigar um crime grave específico ou ato que represente uma grave ameaça à segurança nacional (16).

Este deve ser o último recurso, ou seja, todas as medidas menos intrusivas devem ter sido esgotadas ou ter se mostrado inúteis, e devem ser estritamente limitadas em escopo e duração. Somente dados relevantes devem ser acessados e coletados. As medidas também devem estar sujeitas a uma supervisão independente rigorosa; a aprovação prévia por um órgão judicial é essencial.

Transparência, Proporcionalidade e Auditabilidade

Os argumentos contrários a essas tecnologias destacam sempre o perigo que elas podem representar a direitos fundamentais se o seu emprego ocorrer na clandestinidade, sem autorização judicial e com desproporção entre os meios de investigação e os crimes investigados.

Se há um consenso em matéria tão controversa, ele reside na aceitação, em casos extremos de crimes graves que ameaçam a sociedade como um todo – como terrorismo e crime organizado –, o emprego dessas tecnologias com estritas cautelas legais e controle judicial.

Contra crimes gravíssimos, o Estado não pode ficar obscurecido em sua capacidade de enfrentamento.

As leis vigentes no Brasil fornecem garantias necessárias para o uso prudente dessas tecnologias como técnicas especiais de investigação criminal, atendendo aos requisitos de legalidade estrita, aplicabilidade somente a crimes graves (proporcionalidade) e estrito controle judicial.

As autoridades públicas devem demonstrar, sempre, em cada pedido judicial para uso dessas ferramentas, em investigações criminais, que elas podem ser auditadas, os agentes que a operam são treinados e identificados (nome, data e hora de acesso) e suas atividades fiquem registradas na ferramenta ou no sistema com vistas a evitar questionamentos sobre a integralidade da prova (cadeia de custódia), assim como claramente se indique o número do processo judicial onde ocorreu a ordem judicial para a medida.

É ônus das autoridades investigativas demonstrar ao juiz, em cada caso, que o emprego das ferramentas é transparente, proporcional e auditável. Se, em qualquer dos casos, a autoridade investigativa não puder demonstrar isso, a medida deve ser indeferida.

Afirmar a possibilidade das leis vigentes abrangerem o emprego dessas tecnologias não significa dar por encerradas as possibilidades de discussão social sobre o seu emprego.

O fórum mais adequado para essas discussões é, sem dúvida, o Poder Legislativo.

Um projeto de lei que venha a disciplinar as possibilidades de emprego de tais tecnologias em investigações criminais é bem-vindo porque o debate público é sempre benéfico às possibilidades de restrição sobre direitos fundamentais.

  1. https://investigacaofinanceira.com.br/siga-o-dinheiro/;
  2. GOODMAN, Marc. Future Crimes, p. 07/08;
  3. James Comey, Diretor do FBI, 2014. Disponível em: https://www.fbi.gov/news/testimony/going-dark-encryption-technology-and-the-balances-between-public-safety-and-privacy; https://www.fbi.gov/news/stories/senate-committees-briefed-on-going-dark-impact; https://www.fbi.gov/news/testimony/counterterrorism-counterintelligence-and-the-challenges-of-going-dark; https://www.fbi.gov/news/speeches/going-dark-are-technology-privacy-and-public-safety-on-a-collision-course. Ver também: Pfefferkorn, Riana. O Debate Estadunidense sobre Vigilância e Criptografia, em ABREU, Jacqueline de Souza; ANTONIALLI, Dennys (eds.). Direitos Fundamentais e Processo Penal na Era Digital: Doutrina e Prática em Debate. Vol. I. São Paulo. InternetLab, 2018: https://www.internetlab.org.br/wp-content/uploads/2018/08/DIGITAL_InternetLAB_DUPLA.pdf;
  4. Zittrain, Jonathan L., Matthew G. Olsen, David O’Brien, and Bruce Schneier. Don’t Panic: Making Progress on the “Going Dark Debate.” Berkman Center Research Publication 2016-1, disponível em: https://dash.harvard.edu/handle/1/28552576. Tradução desse texto em português feita pelo ITS: https://itsrio.org/wp-content/uploads/2018/10/Dont_Panic_Making_Progress_on_Going_Dark_Debate_PT.pdf;
  5. Conceito consta da Communication from the Commission of 15 November 2006 to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions on fighting spam, spyware and malicious software, 2006, disponível em: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2006:0688:FIN:EN:PDF [acesso em 28 de abril de 2023];
  6. European Data Protection Supervisor, Preliminary Remarks on Modern Spyware, 2022, disponível em https://edps.europa.eu/data-protection/our-work/publications/papers/edps-preliminary-remarks-modern-spyware_en [acesso em 17 de abril de 2023];
  7. COE, Pegasus Spyware and its impacts on human rights, 2022, relatório disponível em https://www.coe.int/en/web/freedom-expression/-/pegasus-spyware-and-its-impacts-on-human-rights [acesso em 27 de abril de 2023].
  8. Lista constante de https://www.softwaresuggest.com/pegasus/alternatives [acesso em 26 de abril de 2023];
  9. Carlos Liguori, Exploring Lawful Hacking as a Possible Answer to the “Going Dark” Debate, 26 MICH. TELECOMM. & TECH. L. REV. 317, 2020. https://repository.law.umich.edu/mtlr/vol26/iss2/5. Sobre os variados empregos do termos lawful hacking, ver DUTRA, Luiza Correa de Magalhães; PEREIRA, Wilson Guilherme Dias; SANTARÉM, Paulo Rená da Silva; VIEIRA, Victor Barbieri Rodrigues. Hacking Governamental: uma revisão sistemática. Belo Horizonte: Instituto de Referência em Internet e Sociedade, fevereiro de 2023. Disponível em: <https://bit.ly/3YdVcIL>. Ver ainda: IP. Rec, Quanto vale um segredo? Dilemas éticos no “mercado do lawful hacking”, https://ip.rec.br/blog/quanto-vale-um-segredo-dilemas-eticos-no-mercado-do-lawful-hacking/.
  10. Disponível em https://www.europarl.europa.eu/cmsdata/259327/Draft%20Study_Pegasus_Legal%20framework_5%20December_EN.pdf;
  11. O mais importante deles foi o PEGASUS Project, que começou a ser publicado em dia 18 de Julho de 2021, em uma série de reportagens produzidas por um consórcio internacional de jornalistas (https://forbiddenstories.org/case/the-pegasus-project/). As reportagens divulgaram que o Pegasus foi supostamente vendido para regimes autoritários ao redor do mundo, servindo para espionar jornalistas, defensores de direitos humanos e ativistas, ao arrepio de qualquer controle jurisdicional;
  12. “Tecnologias podem habilitar contextos democráticos ou autoritários. A ideia de tecnoautoritarismo pode ser usada para explicar os processos de expansão do poder estatal, por meio do uso de tecnologias de comunicação da informação de ponta, com o objetivo de incrementar as capacidades de vigilância e controle sobre a população, mediante violação de direitos individuais ou ampliação importante dos riscos de violação a direitos fundamentais. Práticas tecnoautoritárias ajudam a corroer por dentro os pilares de sustentação da democracia, criando estruturas aptas a aumentar a vigilância, repressão e supressão de exercícios de direitos”. LAUT, Retrospectiva Tecnoautoritarismo 2020, disponível em: https://www.dataprivacybr.org/documentos/retrospectiva-tecnoautoritarismo-2020/ [acesso em 18 de abril de 2023].
  13. https://investigacaofinanceira.com.br/cibercrime-convencao-de-budapeste-e-leis-brasileiras/
  14. Brasil. Ministério Público Federal. Câmara de Coordenação e Revisão, 2. Roteiro de atuação : crimes cibernéticos e provas eletrônicas / 2ª Câmara de Coordenação e Revisão, Secretaria de Cooperação Internacional. – 4. ed., atual. e ampl. – Brasília : MPF, 2021;
  15. Uso de softwares espiões pela polícia: prática legal?, publicado em 04/06/15, disponível em: https://www.jota.info/opiniao-e-analise/artigos/uso-de-softwares-espioes-pela-policia-pratica-legal-04062015. Sobre o tema, ver também MENK, Fabiano. A proteção de dados e o novo direito fundamental à garantia da confidencialidade e da integridade dos sistemas técnico-informacionais no direito alemão, in MENDES, G. F.; SARLET, I. W.; COELHO, A. Z. P. Série “direito Inovação e Tecnologia” – Direito, Inovação e Tecnologia – Volume 1. São Paulo: Saraiva, 2015. E-book;
  16. Declaração da Alta Comissária das Nações Unidas para os Direitos Humanos, em 14 de setembro de 2021. Disponível em: https://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=27455&LangID=E.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

error: Content is protected !!