Um Tratado Global para Combater o Cibercrime - Sem Combater o Spyware Mercenário

O novo tratado da ONU sobre crimes cibernéticos está prestes a se tornar um veículo de cumplicidade no comércio global de espionagem mercenária.[1]

Kate Robertson*

Em 8 de agosto, a comunidade internacional concluiu suas negociações finais nas Nações Unidas sobre um tratado internacional de crimes cibernéticos. O tratado — agora pronto para ser votado na Assembleia Geral da ONU[2] — tem como objetivo alinhar as leis de crimes cibernéticos e os poderes da polícia investigativa de seus estados-partes. O processo de negociação revelou profundas falhas na comunidade global sobre o papel dos direitos humanos na era digital. Em meio a uma série de disputas, o potencial do tratado de alimentar a proliferação global de spyware mercenário[3] lança uma sombra iminente sobre sua versão final. Como a Casa Branca ressaltou,[4] os abusos estatais de spyware comercial são uma ameaça clara e urgente aos direitos humanos e aos interesses de segurança nacional dos Estados Unidos e de seus aliados.

Os proponentes do processo do tratado da ONU esperavam harmonizar os esforços globais para combater o crime cibernético transnacional.[5] No entanto, o tratado tem sido alvo de intensas críticas — da sociedade civil,[6] dos principais pesquisadores de segurança,[7] das autoridades de direitos humanos,[8] da imprensa internacional[9]e da indústria[10]— por ameaçar causar muito mais mal do que bem à segurança digital da população mundial.[11]

O mandato do projeto de tratado exige poderes de vigilância e compartilhamento de dados transfronteira sobre uma gama impressionante de conteúdos online — uma visão que, como defendida pela Rússia, China e outros adversários, ultrapassa dramaticamente um foco estreito de combate ao crime cibernético.[12] Os capítulos IV e V do projeto de tratado exigem obrigações de vigilância e compartilhamento de dados referentes a qualquer informação digital de interesse em investigações de direito penal doméstico em cada país que seja parte do tratado. O tratado está, portanto, disposto a inundar canais de cooperação jurídica já sobrecarregados com solicitações policiais por informações digitais de baixa prioridade ou abusivas.

Esforços recentes para combater a proliferação de spyware mercenário

Se adotado pela Assembleia Geral, o tratado da ONU representaria um dos primeiros grandes retrocessos em meio aos esforços internacionais em andamento para combater spyware mercenário.[13] Após o lançamento da ordem executiva de 2023 da Casa Branca sobre spyware comercial,[14] 16 outros países se juntaram aos Estados Unidos na divulgação de uma declaração conjunta reconhecendo o spyware como uma ameaça à segurança nacional e aos direitos humanos.[15] A declaração enfatiza que o spyware é frequentemente mal utilizado por regimes autoritários e democracias — inclusive contra defensores dos direitos humanos e jornalistas. A coalizão liderada pelos EUA afirmou que eles “compartilham um interesse fundamental de segurança nacional e política externa em combater e prevenir a proliferação de spyware comercial”. Os Estados Unidos deram um passo adiante ao proibir o governo federal de usar spyware comercial e lançaram uma resposta governamental para combater a tecnologia, incluindo, por exemplo, controles de exportação e sanções visando indivíduos envolvidos com entidades de spyware comercial.[16] Os Estados Unidos também se juntaram a uma iniciativa paralela na UE,[17] agora liderada pelo Reino Unido e pela França, com o objetivo de “Combater a Proliferação e o Uso Irresponsável de Capacidades Comerciais de Intrusão Cibernética”.

Um quadro internacional para o comércio global de espionagem

Se o tratado prosseguir, todos os signatários seriam obrigados a adotar capacidades de vigilância e interceptação que podem ser transformadas em armas por países que buscam cobertura legal para justificar seu uso de spyware comercial. Por exemplo, o Artigo 28 da convenção obriga os signatários a obter capacidades de vigilância sobre dados eletrônicos armazenados em seu território, e os Artigos 29 e 30 obrigam os países a obter capacidades para realizar a interceptação em tempo real de dados de tráfego e dados de conteúdo. Notavelmente, as disposições não proíbem os países de recorrer a mercenários cibernéticos que lançam mão de spyware comercial para obter as capacidades necessárias. Um estado poderia, sob os artigos acima mencionados, argumentar que o tratado permite que os países recorram a fornecedores de spyware comercial para as capacidades de vigilância necessárias. A linguagem no Artigo 40, exigindo que os países forneçam a “medida mais ampla” de assistência jurídica mútua em investigações policiais sob o tratado, fornece material adicional para tais alegações interpretativas. É altamente provável que os governos abusem do spyware para reforçar práticas despóticas e minar as instituições democráticas internamente e no exterior.[18] As investigações dos pesquisadores do Citizen Lab sobre a prevalência e o impacto da espionagem digital documentaram evidências de ataques direcionados, tanto internos como transfronteiras,[19] contra a sociedade civil, incluindo defensores dos direitos humanos,[20] jornalistas[21]e dissidentes políticos.[22]

Outras disposições no rascunho abrem caminho para que os países terceirizem o uso de spyware para equivalentes de aplicação da lei em países estrangeiros com controles de privacidade frouxos, ou para lavar dados obtidos de spyware por meio de canais secretos de compartilhamento de dados criados ou normalizados sob os auspícios do tratado. Por exemplo, o Artigo 46 exige que os estados “se esforcem para fornecer assistência jurídica mútua uns aos outros” na interceptação e gravação em tempo real de dados. A disposição não observa nenhuma restrição sobre se os dados em questão estão localizados no território do país que presta assistência. O Artigo 47(2) geralmente endossa o uso de redes transfronteiras que operam por meio de “acordos ou arranjos” multilaterais ou bilaterais,[23] permitindo “cooperação direta” entre agências policiais em todo o mundo. O Artigo 48 também dá sinal verde para o uso de “investigações conjuntas” transnacionais entre agências policiais, o que abre a porta para que as autoridades policiais busquem parcerias com jurisdições favoráveis a spyware. As obrigações de sigilo ilimitadas previstas no artigo 40(20) criam uma forte possibilidade de que as provas obtidas através de spyware mercenário sejam difíceis de detectar e contestar através destas redes.

A comunidade internacional já está vendo usos mais atrevidos de operações policiais transnacionais, como uma operação secreta transfronteira[24]que levou à captura subreptícia de milhões de mensagens criptografadas de celulares ao redor do mundo em uma investigação internacional conjunta, liderada por uma cooperação entre o FBI e a Polícia Federal australiana.[25] A investigação foi estruturada para situar o armazenamento das mensagens capturadas em servidores localizados em um terceiro país — mais tarde revelado como a Lituânia[26]— para evitar as barreiras legais sob as proteções constitucionais de privacidade dos EUA. A polícia dos EUA obteve assim acesso aos dados por meio de canais de assistência jurídica mútua da Lituânia. O exemplo levanta questões sobre como garantir que as proteções internacionais de direitos humanos e os controles de responsabilização sejam igualmente robustos em investigações transnacionais, especialmente devido ao potencial de que colaborações possam ocorrer com jurisdições que permitam spyware mercenário.

O Artigo 47(1) também endossa a troca rápida de informações por meio de canais transnacionais, incluindo quaisquer dados ou informações de localização de qualquer pessoa de interesse. Subgrupos de regimes não liberais também já estabeleceram práticas que levantaram sérias preocupações sobre riscos de compartilhamento de dados:[27] por exemplo, a unidade de contraterrorismo da Organização de Cooperação de Xangai supostamente usou tais táticas de compartilhamento de dados para atingir dissidentes[28] e circular listas de indivíduos[29]a serem presos e indiciados. Até mesmo o compartilhamento informal de informações inapropriadas ou imprecisas pode levar à prisão e tortura de pessoas inocentes.[30] Sem controles robustos de direitos humanos, redes de baixa visibilidade são particularmente propícias ao abuso por países que buscam obter e compartilhar dados coletados de spyware mercenário.

Lições difíceis do legado da INTERPOL

Potenciais estados-membros do tratado proposto pela ONU sobre crimes cibernéticos podem olhar para a Organização Internacional de Polícia Criminal (INTERPOL)[31] como um exemplo do perigo dos protocolos de compartilhamento de dados transfronteiras que não exigem e harmonizam proteções robustas de direitos humanos de todos os estados participantes.

Fundada em 1923 e reconstituída em 1946, a INTERPOL é uma organização internacional de compartilhamento de dados que faz a intermediação entre órgãos policiais membros de 196 países ao redor do mundo. Apesar de várias reformas ao longo dos anos, um compromisso com instrumentos internacionais de direitos humanos que se aplicam a investigações policiais, como o Pacto Internacional sobre Direitos Civis e Políticos,[32] nunca se tornou um pré-requisito para a filiação à INTERPOL. Na verdade, o Artigo 4 da constituição da organização — que rege a filiação — não inclui linguagem sobre conformidade com os direitos humanos ou quaisquer outros elementos de filiação. Ele exige apenas que uma solicitação de filiação venha da autoridade governamental apropriada de um país, que pode propor um “órgão policial oficial” para filiação à INTERPOL. Seu órgão dirigente, a Assembleia Geral da INTERPOL, então determina a filiação com uma votação. Além disso, o Artigo 2 de sua constituição declara que um dos objetivos da INTERPOL é promover a assistência mútua “no espírito” da Declaração Universal dos Direitos Humanos, mas não vai além para tornar obrigatório seu cumprimento para a INTERPOL ou seus membros.

O abuso crônico dos mecanismos de cooperação internacional da INTERPOL ilustra o perigo de estruturas de policiamento transfronteiriço que não exigem comprometimento compartilhado com padrões robustos de direitos humanos. Mesmo em circunstâncias de grande visibilidade, por exemplo, no caso Bill Browder — um financista conhecido por expor a corrupção no governo russo[33] — a Rússia tentou prender Browder oito vezes por meio do programa Red Notice da INTERPOL.[34] (Seu advogado, Sergei Magnitsky, foi preso em conexão com as mesmas acusações na Rússia e morreu após ser espancado em uma prisão de Moscou.) Red Notices são solicitações para autoridades policiais em todo o mundo para localizar e prender um indivíduo para processamento e extradição para o país original que emitiu um mandado de prisão. O programa Red Notice e outros procedimentos de cooperação na INTERPOL[35] foram vinculados a abusos governamentais repetidos e persistentes[36]que frequentemente levam a prisões injustas, detenções, confinamento solitário[37]e, em alguns casos, extradição resultando em violações do devido processo legal[38] e tortura.[39]

O Secretário-Geral da INTERPOL, Juergen Stock, explicou que, neste estágio, a INTERPOL está limitada em sua capacidade de proteger melhor os indivíduos de abusos estatais do programa Red Notice.[40] Stock citou tensões geopolíticas e a ausência de uma definição internacional comum de terrorismo — um aceno ao perigo de países que usam indevidamente a estrutura da INTERPOL como uma ferramenta para repressão transnacional. Países autoritários frequentemente usam a lei criminal como uma espada contra a liberdade de expressão para silenciar a oposição e suprimir a dissidência, como no caso de Alexei Navalny, que foi um importante defensor anticorrupção e líder de um partido de oposição na Rússia. Moscou rotulou Navalny como um extremista criminoso, e Navalny foi preso[41] até sua morte em uma prisão russa em fevereiro.[42] Apesar do abuso repetido da estrutura da INTERPOL, no início deste ano Stock sublinhou que, embora examine as solicitações estatais de Red Notices, a organização optou por não policiar os registros de direitos humanos de seus países membros, afirmando que esse não é seu papel “como uma organização policial técnica”.[43]

Mas, por mais “técnicos” que sejam os poderes policiais transnacionais, não há dúvida que seu uso indevido pode ser devastador para alguns dos interesses de direitos humanos mais sensíveis conhecidos pelo direito internacional. O posicionamento de Stock da INTERPOL como um órgão técnico também falha em reconhecer como a inadequação das salvaguardas processuais em torno da vigilância estatal e da divulgação de informações sensíveis a agências policiais não são simplesmente periféricas aos direitos humanos. As salvaguardas processuais — como autorização e supervisão judicial independente — que protegem contra abusos por funcionários estatais vão ao cerne dos padrões internacionais de direitos humanos aplicáveis a investigações policiais.[44]

Nas fases finais das negociações, vários países ressaltaram o perigo de abusos semelhantes ao tratado proposto pela ONU ao votarem para eliminar múltiplas salvaguardas do texto final do tratado, incluindo o Artigo 40(22). Este artigo estipula que os países não são obrigados a fornecer assistência jurídica a uma investigação policial estrangeira se houver “motivos substanciais” para acreditar que o propósito da investigação ou acusação estrangeira é punir uma pessoa “por conta do sexo, raça, idioma, religião, nacionalidade, origem étnica ou opiniões políticas dessa pessoa”. Vinte e cinco países — incluindo Rússia, China e Índia — votaram para remover o Artigo 40(22), e outros 17 países se abstiveram.

Em outras palavras, mais de 40 países endossaram ou toleraram a remoção de uma disposição que limita as obrigações de cooperação em circunstâncias em que um país estrangeiro está investigando um indivíduo com o propósito de discriminação ou punição por suas opiniões políticas. Embora a votação tenha fracassado, a tentativa serve como um alerta sobre quantos países provavelmente abordarão a implementação do tratado se ele for aprovado pela Assembleia Geral, principalmente devido às deficiências nas salvaguardas dos direitos humanos que deixam amplo espaço para abusos.

Uma oportunidade perdida para a reforma do direito internacional para atingir o spyware mercenário

Assim como a estrutura da INTERPOL, o projeto de tratado sobre crimes cibernéticos da ONU também é indiferente ao comprometimento dos estados-partes com instrumentos internacionais de direitos humanos, como o Pacto Internacional sobre Direitos Civis e Políticos (PIDCP).[45] O Artigo 6(1) faz referência à necessidade de os estados signatários garantirem que sua implementação do tratado “seja consistente com suas obrigações sob a lei internacional de direitos humanos”, mas a medida é amplamente prejudicada por nações que se recusaram a assinar os principais tratados de direitos humanos ou proteção de dados. A China, por exemplo, expressou apoio ao tratado da ONU,[46] mas não é parte do PIDCP e é responsável por documentar abusos dos procedimentos de cooperação da INTERPOL.[47] Os Emirados Árabes Unidos (EAU) também participaram das negociações da ONU e são um potencial signatário do tratado da ONU. Os EAU não são signatários do PIDCP e foram vinculados a abusos do spyware Pegasus do NSO Group.[48] Os EAU também foram doadores financeiros significativos da INTERPOL[49] e foram investigados por abusos do programa Red Notice da INTERPOL.[50] Ao abrir o tratado a todos os países, independentemente de seus compromissos com os padrões internacionais de direitos humanos, como o PIDCP, o tratado da ONU abre a porta para mais abusos transnacionais.

As lacunas de direitos humanos no texto final do tratado proposto levaram a um amplo consenso entre a sociedade civil e a indústria de que o tratado deveria ser rejeitado pelos estados democráticos por não ir longe o suficiente para proteger indivíduos ao redor do mundo que serão mais impactados pelo tratado se ele for aprovado.[51] Embora haja proteções importantes no texto final do tratado proposto, a maioria de suas disposições — como o Artigo 6(1), entre outras — foram avaliadas como ausentes e vulneráveis a abusos.[52] Além do Artigo 6(1), o Artigo 6(2) inclui uma disposição que essencialmente impede que o tratado seja interpretado de uma maneira que suprima os direitos humanos e as liberdades fundamentais. O Artigo 6(2) é importante, mas também é muito amplo e, portanto, vulnerável à exploração. Por exemplo, os estados podem citar a robusta disposição de soberania conforme descrito no Artigo 5, para contestar o conteúdo específico do Artigo 6 ou a aplicabilidade de padrões internacionais de direitos humanos ao uso de intrusões cibernéticas como spyware mercenário.[53]

Outra salvaguarda fundamental encontrada no Artigo 24 exige que os Estados Partes alinhem suas leis nacionais com suas obrigações internacionais de direitos humanos ao implementar o tratado e estipula que aqueles que implementam leis devem incorporar o princípio da proporcionalidade. O Artigo 24(2) estipula a necessidade de certas condições e salvaguardas específicas, como a necessidade de revisão judicial e direitos de reparação eficazes. Apesar dessas disposições, o Artigo 24 também foi criticado por enquadrar essas obrigações essenciais de direitos humanos como opcionais e por não invocar a necessidade de outras obrigações estabelecidas de direitos humanos, como o princípio da legalidade[54] e o direito à notificação individual.[55] No geral, há muito no Artigo 24 que reforça a visão de alguns estados de que muitas de suas salvaguardas são principalmente uma questão de preferência nacional.[56] Mesmo com essas fraquezas, vários Estados ainda votaram para tentar eliminar os Artigos 6(2) e 24 do texto final do tratado.

Particularmente preocupante, dada a persistência de alguns estados no uso de spyware comercial, é que as salvaguardas do Artigo 24 também têm aplicação muito limitada às disposições de cooperação do tratado no Capítulo V.[57] Coletivamente, as disposições de cooperação nos Artigos 46 a 48 não impõem proibições expressas sobre o compartilhamento de dados hackeados ou informações obtidas de spyware comercial.[58] As disposições também não impõem nenhuma supervisão judicial independente ou obrigações de transparência para salvaguardar os direitos humanos no contexto de investigações transnacionais. Medidas de transparência e supervisão são críticas para evitar que redes transnacionais obscuras proliferem em segredo indefinido. Apesar das deficiências do tratado em exigir comprometimento com os padrões de direitos humanos, o Artigo 47(2) ainda permite que o próprio tratado atue como a “base” para a cooperação.

Os abusos estatais de spyware ilustram o perigo de delegar proteções de direitos humanos ao reino da “lei doméstica” para cada país interpretar em seus próprios termos. Autoridades internacionais de direitos humanos e acadêmicos têm chamado a atenção para a necessidade de reforma da lei internacional para confrontar a espionagem cibernética e o spyware comercial. Isso inclui a necessidade de regulamentação global que exija “ação multilateral e obrigatória com força legal”[59] contra spyware e para um tratado internacional abordando a espionagem cibernética dissidente transnacional.[60] O tratado da ONU não promoveria nenhum desses objetivos.

Críticas semelhantes podem ser levantadas contra um tratado de cibercrime legado, originalmente desenvolvido pelo Conselho da Europa (comumente chamado de Convenção de Budapeste),[61] que também obriga os estados a manter capacidades de vigilância e não exige que os signatários assinem o Pacto Internacional sobre Direitos Civis e Políticos ou instrumentos de direitos humanos comparáveis. No entanto, o texto da Convenção de Budapeste foi desenvolvido em 2001 — muito antes de os mercenários cibernéticos desenvolverem a capacidade de manejar ferramentas poderosas, como cadeias de exploração de zero cliques,[62] tornando muito mais difícil para os estados argumentarem que o tratado pretendia permitir explorações altamente invasivas que não estavam em circulação no momento da elaboração. A proliferação global de spyware comercial[63] está agora diretamente diante da comunidade internacional, assim como a prevalência e a periculosidade da repressão transnacional.[64] Os pesquisadores estão cada vez mais chamando a atenção para como, embora a repressão transnacional “não seja um fenômeno novo, tais táticas estão se expandindo por meio do crescimento do mercado de tecnologias digitais e da disseminação da conectividade com a Internet”.[65] Cada vez mais, o spyware é usado como uma ferramenta para facilitar a repressão transnacional, ou como um fim repressivo em si mesmo. Repetir erros do passado por meio do tratado cibernético da ONU consolida e piora esses problemas.

A incapacidade da comunidade internacional de gerar consenso sobre questões relativas aos direitos humanos fundamentais deixa os estados-membros da ONU com a escolha de assinar ou não o tratado sem salvaguardas essenciais de direitos humanos. No entanto, se a história é uma professora, ela diz que exigir cooperação transfronteira sem exigir compromissos robustos de direitos humanos não é um caminho sustentável para a luta contra o crime cibernético transnacional. Como o Secretário de Estado Antony Blinken pediu apenas no início deste ano,[66] o uso indevido de spyware comercial tem sido associado a “detenções arbitrárias, desaparecimentos forçados e execuções extrajudiciais nos casos mais flagrantes”. Para os países que buscam proteger as liberdades fundamentais, a segurança humana e a segurança nacional, esta não é uma luta que pode ser perdida.

(*) Kate Robertson é pesquisadora sênior do Citizen Lab, sediado na Munk School of Global Affairs & Public Policy, Universidade de Toronto. Este texto é publicado em português com autorização da autora e da revista Lawfare.

[1] Publicado originalmente em https://www.lawfaremedia.org/article/a-global-treaty-to-fight-cybercrim…

[2] https://undocs.org/en/A/AC.291/L.15

[3] Também chamado de spyware comercial – as duas formas são usadas neste texto. Uma resenha do tema está em https://em360tech.com/tech-article/what-is-mercenary-spyware (n.t.).

[4] https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/27…

[5] https://documents.un.org/doc/undoc/gen/n19/440/28/pdf/n1944028.pdf

[6] https://epicenter.works/fileadmin/user_upload/Cybercrime_-_Open_Letter_…

[7] https://www.eff.org/deeplinks/2024/02/protect-good-faith-security-resea…

[8] https://www.unodc.org/documents/Cybercrime/AdHocCommittee/Reconvened_co…

[9] https://ipi.media/ipi-calls-on-us-eu-to-reject-dangerous-global-surveil…

[10] https://uscib.org/uscib-content/uploads/2024/08/Cybercrime-Letter-FINAL…

[11] https://doctorow.medium.com/https-pluralistic-net-2024-07-23-expanded-s…

[12] https://foreignpolicy.com/2023/08/31/united-nations-russia-china-cyberc…

[13] Uma visão convergente do tema está em https://www.techpolicy.press/new-united-nations-cybercrime-convention-s… (n.t.)

[14] https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/27…

[15] https://www.whitehouse.gov/briefing-room/statements-releases/2024/03/18…