Covid-19, ataques cibernéticos e o Direito Internacional

Covid-19, ataques cibernéticos e o Direito Internacional

Solano de Camargo*

10 de novembro de 2020 | 10h00

Solano de Camargo. FOTO: DIVULGAÇÃO

Em maio de 1701, quem percorresse as margens londrinas do rio Tâmisa, veria cadáveres pendurados em estacas, balançando com o movimento das águas: corpos de piratas condenados a morrer na forca, pelas atividades de pirataria internacional. O curioso é que essa mesma atividade ilícita, que tanto prejudicava o comércio internacional dominado pelo Reino Unido no século XVIII, havia sido fortemente incentivada por aquele próprio Estado, cem anos antes, por meio dos corsários.

E muitas das atividades atuais de ciberpirataria parecem ser, muitas vezes, acobertadas, incentivadas ou mesmo promovidas por Estados. Em meio ao flagelo de Covid-19, os ataques hackers a centros médicos localizados ao redor do mundo tem causado enorme consternação na sociedade internacional, incapaz de lidar com o problema, como a noticiada nesta semana no Brasil, que envolveu o STJ, o CNJ e o Ministério da Saúde.

Desde o início da pandemia de Covid-19, incidentes cibernéticos direcionados ao setor de saúde foram relatados em vários países, incluindo França, Espanha, Tailândia, República Tcheca e Brasil.

De acordo com a empresa de segurança digital Bitdefender, entre fevereiro e março de 2020 – meses que marcaram o início da pandemia no Ocidente – os ataques cibernéticos contra hospitais e clínicas aumentaram 475% em todo o mundo, levando a Interpol a emitir um comunicado público alertando as instituições de saúde a redobrarem os cuidados e a revisarem as rotinas de segurança.

O Brasil conta com um insignificante conjunto de normas que combatem as atividades hackers, tais como a Lei Carolina Dieckmann e o Marco Civil da Internet que, mesmo assim, procuram proteger o setor público e privado de tais ataques.

Os sessenta e cinco Estados que ratificaram a Convenção de Budapeste sobre o Cibercrime de 2001, de iniciativa do Conselho da Europa (e ainda não ratificada pelo Brasil), obrigaram-se a criminalizar certas atividades cibernéticas específicas, como o acesso ilegal a sistemas e bancos de dados (art. 2º); a manipulação ilícita desses dados (art. 4º); ou a interferência no funcionamento de sistemas (art. 5º). Os Estados partes também se obrigaram a cooperar nas investigações e a promover ações penais contra atos indicados como ilícitos na Convenção (arts. 23 a 35).

Nos conflitos armados há uma ampla proteção jurídica para os serviços e instalações médicas, baseada na premissa de que um dos imperativos fundamentais de direitos humanos é “mitigar, tanto quanto possível, os inevitáveis sofrimentos ​​da guerra” como se vê, exemplificativamente, em diversos dispositivos da Convenção de Genebra de 1949.

Quando os conflitos armados e as epidemias se cruzam, a rede de proteção jurídica de direitos humanos é ainda mais importante, visto que as populações deslocadas ou que tenham suas casas destruídas, vivendo em abrigos ou em instalações desprovidas de higiene, sofrem os efeitos pandêmicos de forma muito mais rápida, ampla e devastadora.

A mesma premissa foi manifestada em declaração oficial divulgada pelo Ministério da Defesa da França, também em 2019, a respeito das condutas e princípios a serem seguidos por aquele Estado ante as novas ameaças cibernéticas.

Embora a noção jurídica de “ataque” cibernético ou mesmo a classificação da guerra virtual como um “conflito armado” sejam questões ainda não resolvidas no âmbito do direito internacional, é certo que muitas das violações de direitos humanos em geral são de competência do Tribunal Penal Internacional, conforme determina o art. 8º do Estatuto de Roma, reunidas sob a ampla categoria de Crimes de Guerra.

Caso haja capacidade técnica, poderia o Estado atingido intervir, contra-atacando o invasor localizado em outro Estado?

A Suíça, desde 2017, prevê a possibilidade de agir com contra-ataques cibernéticos (hacking back), conforme disposto no art. 37 (1) da Lei Federal dos Serviços de Inteligência.

O hacking back geralmente se refere às medidas proativas tomadas pela vítima de um ataque cibernético, visando  identificar a origem do ataque, investigando a infraestrutura dos cibercriminosos em busca de pontos fracos ou fragmentos de informações, impedindo a continuidade do crime, desabilitando as ferramentas utilizadas no ato ilícito, indisponibilizando ou recapturando os dados eventualmente subtraídos. Neste caso, é necessária a invasão remota de servidores localizados em outras jurisdições.

Do ponto de vista do direito internacional, a agressão cibernética tem constituído apenas uma violação à soberania do Estado invadido e não propriamente um ato de agressão.

Em 2014, quando o presidente Obama acusou a Coreia do Norte de hackear a Sony Pictures, tal ato foi caracterizado por ele como um “vandalismo cibernético” e não de guerra; em 2016, funcionários do governo local consideraram que a Rússia teria interferido nas eleições presidenciais dos Estados Unidos, caracterizando o fato como uma “violação das normas internacionais” e não como um ato de agressão stricto sensu.

O crime de agressão, ou crime contra a paz, foi introduzido pela primeira vez cenário internacional pela convenção que criou o Tribunal Militar Internacional de Nuremberg (Carta de Londres, de 1945), ao final da Segunda Guerra Mundial.

De acordo com o projeto da ONU sobre uma futura Convenção sobre a Responsabilidade Internacional dos Estados por atos Ilícitos (Draft Articles on Responsibility of States for Internationally Wrongful Acts) elaborado pela Comissão de Direito Internacional (CDI), um ato de defesa cibernética ativa não precisaria atender aos requisitos de autodefesa, podendo ser justificada como uma contramedida, conceituada como uma reação lícita, baseada no costume internacional, que permite ao Estado agredido agir de acordo com uma conduta tida em outras situações como ilícita, respondendo a uma violação de seus direitos por parte de outro Estado, com o propósito de induzir o agressor a cumprir com suas obrigações internacionais (art. 49 (1) do Projeto).

O problema ocorre, porém, dentro da jurisdição brasileira: as contramedidas são consideradas atos ilícitos de acordo com a Lei Carolina Dieckmann, posto não haver diferenciação no texto legal entre ataque e contra-ataque.

Ao mesmo tempo, também parece haver um consenso internacional de que os conceitos de jus ad bellum, como a proibição da ameaça, de uso da força e o direito à legítima defesa nos termos do art. 2 (4) e do art. 51 da Carta das Nações Unidas de 1945, respectivamente, são aplicáveis ao ciberespaço.

Ambas as situações levam a um paradoxo, em que a reação aos ataques cibernéticos é, ao mesmo tempo, permitida no cenário internacional e limitada no âmbito nacional.

É absolutamente urgente que se estabeleçam padrões internacionais de reconhecimento de culpa e de responsabilidade baseadas em provas que sejam fundadas em padrões técnicos, como forma de trazer ao direito internacional de cada Estado a aplicação tanto das contramedidas que interrompam as agressões como da obtenção das reparações do Estado que eventualmente se omitir ou promover atos de ciberpirataria.

Como no século XVIII, talvez a exposição pública de penalidades efetivamente aplicadas contra ciberpiratas (e seus incentivadores governamentais), aliada à uma penalidade exemplar, sem que seja necessária a exposição de cabeças decapitadas ao longo do Rio Tamisa, seja a única forma de se coibir essa atividade cada vez mais ruinosa à sociedade internacional.

*Solano de Camargo é sócio sênior da Lee, Brock, Camargo Advogados (LBCA), pós-doutorando em Direito Internacional pela Faculdade de Direito de Coimbra (Portugal), doutor e mestre pela Faculdade de Direito da USP

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.