‘Hackeamento legal’ combateria crimes, mas esbarra em violações

O uso de programas maliciosos (ou malware) pelo Estado em investigações criminais é visto por alguns juízes e delegados como um caminho potencial para driblar crimes com criptoativos, um dos que mais têm crescido nos últimos anos. Mas o método esbarra em uma série de problemas técnicos e violações de direitos, alertam advogados e especialistas em Direito Digital e Internacional.

123RFUso de “hackeamento legal” em investigações divide opiniões

A estratégia de usar vírus para invadir dispositivos tecnológicos de criminosos, quando conduzida por autoridade legal, é informalmente conhecida como “hackeamento legal” ou “hackeamento estatal”. Essa prática é proibida no Brasil.

O método permite à autoridade policial “entrar” e acompanhar, em tempo real, o aparelho eletrônico de uma pessoa que é alvo de investigação, sem que o objeto precise ser fisicamente apreendido ou o proprietário do dispositivo saiba que está sendo monitorado. Isso acontece, por exemplo, na Itália, onde o artigo 267 do Código de Processo Penal prevê o uso de “captadores informáticos” como um meio de produção de provas.

Importados principalmente dos Estados Unidos, esses sensores atuam, na prática, como “um vírus legalizado e legitimado pelo Estado”, explica Bruna Capparelli, doutora em Ciências Criminais pela Universidade de Bolonha e professora de Processo Penal e Direito Internacional da Universidade Autónoma de Lisboa, em Portugal.

“Existem vários tipos de captadores e eles atuam de diferentes maneiras. O destinatário pode ser interceptado a partir do momento que clicar em um link enviado a ele anonimamente por uma autoridade pelo e-mail, por exemplo. Ou simplesmente ao abrir uma mensagem”, diz Capparelli. “São intercepções ambientais e remotas, o que significa que o sensor captura toda e qualquer comunicação envolvendo aquele dispositivo alvo.”

Ferramentas invasivas de retaliação semelhantes também vêm sendo exploradas em outros países. A Espanha, por exemplo, inclui o uso de “softwares de vigilância” no artigo 588 de seu código penal. País vizinho do Brasil, o Uruguai prevê o uso de “vigilância automática” no artigo 62 da lei que trata de lavagem de dinheiro e delitos conexos. 

Tanto na Itália quanto na Espanha e no Uruguai, a medida só pode ser empregada com ordem judicial e nos termos estabelecidos pela autoridade judiciária.

Esses exemplos foram citados pelo juiz Ulisses Augusto Pascolati Júnior, da 4ª Vara Criminal da Comarca de Osasco (SP), durante o webinar Rumos do Direito Criminal — na voz de quem decide, promovido pela TV ConJur no último dia 16 de maio.

Na visão do magistrado, uma vez que a criminalidade se especializou e está utilizando tecnologias avançadas para cometer delitos, “o Estado também deveria considerar seu uso durante as investigações”.

Segundo o juiz, que também é doutor em Direito Penal pela Universidade de São Paulo (USP), os métodos de investigação criminal disponíveis no Brasil atualmente estão se tornando obsoletos diante da “modernização” das organizações criminosas, incluindo aquelas que utilizam ativos digitais para lavar dinheiro.

Júnior afirma que a polícia e o Ministério Público hoje “dependem quase que exclusivamente da sorte” de uma ordem de busca e apreensão bem sucedida para ter acesso aos dispositivos eletrônicos de criminosos — como HD, laptop, chip, notebook, celular ou pen drive — e, assim, obter informações úteis ao processo.

O problema, diz ele, é que nem sempre é possível apreender esses aparelhos. Mesmo quando isso acontece, ainda existem barreiras tecnológicas antiforenses que dificultam a extração dos dados.

“Com os criptoativos, por exemplo, se não há uma autoridade central regulando o mercado, as investigações se socorrem de quem? Dependem, na maioria das vezes, da busca e apreensão de um dispositivo eletrônico que mostre onde está a carteira de ativos ilícitos da organização criminosa”, avalia.

Para juiz, Brasil é excessivamente dependente de busca e apreensão de dispositivos eletrônicosReprodução/DPU

Legalizar o “hackeamento” para ajudar no enfrentamento desses e de outros ilícitos, afirma o magistrado, não significa “dar uma carta branca” para que agências de persecução penal entrem no celular de um acusado e capturem suas informações: “Estamos falando de um método muito invasivo, então nunca pode ser a primeira medida tomada pelo Estado”.

“Dentro da ideia de subsidiariedade, só deveria ser acionado quando todos os outros meios de investigação tiverem se esgotado, e é crucial definir o que se pode e não se pode fazer mediante autorização judicial”, pondera.

Qualquer tipo de vigilância online estatal, em sua opinião, deve ser vista como exceção, e não regra, visando especialmente crimes cometidos por organizações criminosas que têm como modus operandi a violência. Ele também defende punição para eventuais abusos cometidos por autoridades investigativas.

A opinião é compartilhada pelo delegado da Polícia Civil de Goiás e criador do Núcleo de Operações com Criptoativos (NOC) no Ministério da Justiça, Vytautas Zumas, para quem o hackeamento estatal só poderia ajudar no enfrentamento de crimes com criptoativos e também outros ilícitos se limites fossem impostos para que o método só pudesse ser acionado em casos pontuais e sem abusos legais.

“Já temos a possibilidade legal da infiltração virtual de agentes no Brasil, então não vejo problema se eventualmente tivermos, com autorização judicial e previsão legal, aval para infecção de dispositivos dos criminosos”, diz. “O criminoso na internet não tem barreiras. Por que a repressão ao crime precisa ter, desde que chancelada por uma ordem judicial e antevista num diploma legal?”, questiona.

Mas a possibilidade de estabelecer limites legais para o uso dessas ferramentas não significa, por si só, que um país deva considerar seu uso. A opinião é de Pedro Saliba, advogado especializado em proteção de dados e pesquisador da Associação Data Privacy Brasil.

Para Saliba, é inegável que as novas formas de transações financeiras impuseram desafios para a investigações de crimes. No entanto, antes de cogitar um hacking governamental para o enfrentamento de qualquer tipo de delito, é preciso “pensar na proporcionalidade em relação ao dano que a ferramenta investigativa pode causar ao acusado”.

“Não existem precedentes sobre o que essas ferramentas podem fazer em comparação com tudo que já se viu na história humana”, afirma o advogado. “Quais são as pessoas que teriam capacidade de operar esses sistemas? Qualquer investigador de qualquer polícia civil teria acesso aos dados ou só a Polícia Federal e algumas pessoas específicas?”, questiona.

“E quais seriam as empresas contratadas para a compra das ferramentas? A gente já viu várias notícias a respeito de empresas de cibersegurança que foram hackeadas e isso é um grande problema quando estamos falando de um dispositivo de investigação, que precisa garantir o sigilo do investigado”, diz.

“A partir do momento que você entra no dispositivo de uma pessoa, você pode ver a vida inteira dela”, aponta o advogado. “Como é que poderíamos garantir que esse acesso seria limitado nas investigações?” 

Apreensão de criptoativos

O investimento no mercado de ativos digitais não é crime. Mas a falta de regulamentação das criptomoedas preocupa especialistas no combate à lavagem de dinheiro, já que as transações instantâneas são mais difíceis de rastrear e mais fáceis de movimentar mundo afora — o que tem feito organizações criminosas transportarem para a realidade virtual práticas antigas de lavagem.

Transações com criptomoedas são mais difíceis de rastrear e mais fáceis de movimentar pelo mundo 
123RF

Segundo pesquisa da empresa de análises Chainalysis, o volume de transações ilícitas com criptomoedas no ano passado foi 79% maior do que em 2020: US$ 14 bilhões, contra os US$ 7,8 bilhões de um ano antes.

No Brasil, tramita um projeto de lei para regulamentar o mercado de criptoativos. O texto traz diretrizes para a prestação de serviço de ativos virtuais no país e é visto como um caminho para facilitar a investigação de crimes que utilizam criptomoedas.

“Já existem exchanges que cumprem medidas legais no país, como numa espécie de autoregulação. Mas, quando existir uma lei nacional, qualquer empresa que queira operar e transacionar terá que se identificar e apresentar comprovação probatória de sua identidade. Isso vai tornar o mercado de criptoativos muito mais passível de ser monitorado pelo Estado, como acontece com o sistema financeiro tradicional”, avalia Felipe Américo Moraes, especialista em Direito Penal Econômico e Empresarial.

De acordo com Moraes, que também é autor do livro “Bitcoin e Lavagem de Dinheiro” (Editora Tirant), é mais fácil investigar crimes com ativos digitais quando os criptoativos estão custodiados em exchanges. Isto é, ao invés de estar em uma “carteira privada”, o dinheiro se encontra sob o controle de uma corretora de criptomoedas. 

Nesses casos, a Justiça pode emitir à corretora uma ordem de bloqueio dos bens ilícitos, assim como ocorre em hipóteses de lavagem de dinheiro no sistema financeiro tradicional.

O rastreamento e apreensão dos ativos fica mais difícil quando as criptomoedas estão em carteiras privadas, o que significa que o “usuário guarda consigo as chaves criptográficas de maneira a dificultar que o Estado, numa ordem de bloqueio ou apreensão, consiga alcançá-las”.

Moraes afirma que já existem métodos de desanonimização ou softwares produzidos pela comunidade privada para monitorar e rastrear transações com ativos digitais, estejam eles em carteiras públicas ou privadas.

Mas descobrir a existência de criptoativos ilícitos não implica, necessariamente, na possibilidade de apreendê-los. Em alguns casos, pode levar anos até que a apreensão seja feita.

“Um grupo de hackers invadiu e roubou fundos de uma bolsa de criptomoedas em 2017, mas o dinheiro, mais de US$ 2 bilhões, só foi apreendido pelas autoridades dos EUA no primeiro semestre deste ano. Isso aconteceu porque os hackers sabiam que estavam sendo monitorados e esperaram muito tempo para eventualmente sacar esses fundos e, então, viabilizar o bloqueio”, exemplifica Moraes.

Em casos como esse, diz o advogado, a possibilidade de monitorar o aparelho eletrônico de um criminoso sem que ele saiba que está sendo vigiado pode ser “um dos métodos mais eficazes para a apreensão de criptoativos ilícitos”.

Isso porque, quando o acusado sabe que está sendo investigado, ou que há esse risco, adota medidas que, muitas vezes, tornam impossível o bloqueio e apreensão desses bens.

Risco do hackeamento estatal violar direitos e extrapolar seu objetivo investigativo é iminente, diz advogadoMika Baumeister/Unsplash

No entanto, o risco do hackeamento estatal violar direitos de proteção de dados do indivíduo e até extrapolar seu objetivo investigativo é iminente, diz o advogado.

“Na medida em que já há um histórico de monitoração em massa feita pelo Estado no passado, esse é um assunto que desperta muita preocupação”, avalia. “É preciso tomar cuidado para não repetir os erros do passado”.

De acordo com Pedro Saliba, advogado especializado em proteção de dados, o hacking governamental também pode acabar estimulando um “mercado de vulnerabilidades”.

“O governo passa a estimular que as empresas entrem num mercado de vulnerabilidades para vender e procurar vulnerabilidades dos acusados. Isso vai contra o princípio de segurança de redes e dispositivos e também fere os princípios de governança da internet”, avalia. “A sociedade precisa saber quando está sendo vigiada, ou seja, as capacidades de vigilância do Estado não podem ficar em sigilo”.

Além disso, diz o pesquisador, ao contrário de uma busca de ordem e apreensão tradicional, em que existem parâmetros legais de cadeia de custódia para a extração dos dados do dispositivo, a preservação da integridade desses dados não é assegurada nos casos de hacking governamental. 

A professora de direito penal Bruna Capparelli concorda: “Não é como se fosse uma ‘busca e apreensão online’, como alguns gostam de dizer. A diferença está na potencialidade lesiva do próprio vírus e no que será feito com as conversas adquiridas”.

“Porque aqui entra em jogo não só possíveis provas de atividade criminosa, mas também toda a vida complexa considerável daquele suspeito, que tem seu celular invadido em tempo real”, afirma.

Antes de qualquer ferramenta, manual de instruções

Em 2019, o delegado da Polícia Civil de Goiás Vytautas Zumas, enquanto integrava o Laboratório de Operações Cibernéticas do Ministério da Justiça, decidiu criar o Núcleo de Operações com Criptoativos (NOC).

Ele observou que havia uma “demanda estancada e latente” por parte das polícias judiciárias estaduais, a própria Polícia Federal e os ministérios públicos no que diz respeito a técnicas para investigar crimes que envolvem ativos digitais. “Havia centenas de casos parados porque o investigador não sabia lidar com o assunto”, diz o delegado.

O objetivo do NOC, segundo Zumas, é oferecer treinamentos para ensinar agentes de persecução penal desde o que são criptoativos até como eles podem ser usados por criminosos e quais são os caminhos para reprimir condutas ilícitas. O grupo já passou por estados como Rio Grande do Norte, Maranhão, Rio Grande do Sul, Santa Catarina e Paraná.

Polícia Civil de Santa Catarina recebe treinamento sobre como investigar crimes com criptoativos Reprodução

“O que nós vemos hoje no país com relação à investigação em criptoativos são talentos e conhecimentos muito individualizados. Temos algumas pessoas em cada parte do Brasil nas suas instituições que têm conhecimento no tema e já desenvolvem investigações relacionadas a esses crimes, mas o nosso ideal é nivelar e trazer esse conhecimento do individual para o institucional”, afirma.

Zumas diz que o conhecimento sobre o assunto é embrionário e até “sombrio” em alguns estados, mas que esse cenário tem mudado. 

No país, vários Ministérios Públicos estaduais também já criaram grupos focados em infrações cibernéticas, chamados de Cyber GAECOs (Grupos de Atuação Especial de Repressão ao Crime Organizado), que envolvem o combate a crimes com criptoativos. É o caso do Cyber GAECO de São Paulo, do MP-SP, e o GAECO TECH, do MP-PB, por exemplo.

Uma das coisas que os agentes aprendem nos treinamentos do NOC é como utilizar ferramentas em fontes abertas para rastreio de criptomoedas. A plataforma criada por Zumas para reunir algumas delas, chamada de “BlockSherlock”, foi reconhecida pelo Serviço Secreto dos Estados Unidos. 

Na opinião do delegado, no entanto, antes de entregar ferramentas ou modelos de investigação ao agente policial, ele precisa ser capacitado. “A capacitação dos agentes e dos gestores de segurança pública para lidar com crimes que envolvem criptoativos é um grande desafio no mundo inteiro, mas especialmente no Brasil, devido à dimensão continental do país”, avalia.

O advogado Felipe Américo Moraes também vê uma “curva de aprendizado” sobre crimes com criptoativos no Brasil e diz que, além de fazer com que agentes superem “incompreensões técnicas”, o grande desafio nacional é desenvolver a capacidade de investigação em blockchain pelo Estado, que hoje é feita exclusivamente pela esfera privada.

“Quando a gente fala em casos de vítimas de pirâmides financeiras ou golpes com criptoativos, a autoridade policial tem compreensão de como funciona, mas não tem capacidade investigativa para monitorar as transações que foram feitas. Hoje, as vítimas precisam contratar empresas privadas que façam esse serviço de investigação, porque se depender somente do Estado é quase impossível conseguir uma solução”, diz. 

Segundo o advogado Pedro Saliba, muitas unidades da Polícia Civil no Brasil sequer têm tecnologia para extrair dados de dispositivos eletrônicos, que demandam softwares custosos.

Questionada sobre o posicionamento do governo brasileiro em relação ao uso de ferramentas de retaliação que permitem o hackeamento estatal, a Coordenação Geral de Combate ao Crime Organizado (CGCCO) do Ministério da Justiça não retornou até a conclusão desta reportagem. 

Hackeamento estatal dá acesso a “toda a vida complexa do suspeito”, alerta especialista em Direito Penal

Riscos resistentes

Para Capparelli, nem mesmo o estabelecimento de limites legais para o uso desses métodos é garantia de que eles não irão gerar problemas jurídicos e violações de direitos. A Itália, para ela, é um exemplo disso: embora a legislação estabeleça critérios rigorosos para a aplicação dos captadores, a estudiosa considera “uma ilusão” achar que a Justiça consegue controlar inteiramente esse uso.

Apesar de o código italiano prever que a medida só poderá ser acionada quando houver “uma razão fundamentada” de que o investigado cometeu um dos crimes taxativamente indicados pelos artigos 266 e 266 Bis do código, a professora diz que, na prática, basta uma suspeita de crime para que autoridades acionem o método.

O uso do mecanismo já passou por pelo menos duas reformas, mas ainda não foram definidos limites processuais para a utilização do próprio malware, segundo a especialista em direito penal.

“Sem dúvidas existem benefícios no uso de captadores para investigar crimes cometidos por organizações criminosas”, diz Caparelli. “Mas nós não podemos desprezar o fato de que não há uma flexibilidade no limite de acesso a esse tipo de ferramenta, que inevitavelmente passa a ser incontrolável.”

Acionada, a polícia italiana não se manifestou sobre o assunto até o fechamento desta reportagem. A assessoria de comunicação do Ministério do Interior da Espanha, por sua vez, destacou que os softwares de vigilância “só são utilizados por ordem judicial e nos termos estabelecidos pela autoridade judiciária”.

Já o Ministério do Interior do Uruguai não retornou, mas, segundo o juiz Ulisses Augusto Pascolati Júnior, do TJ-SP, o país não utiliza o método porque não há capital para investir na tecnologia.