Por André Ramiro e Pedro Amaral
Está nossa segurança ameaçada pelo acesso limitado por criptografia forte? Ou a narrativa ‘going dark’ não passa de um desejo por controle e acesso ilimitado à informação?
Para algumas representações das forças de aplicação da lei, técnicas focadas em privacidade, especialmente a criptografia, seriam responsáveis pelo “obscurecimento” das investigações uma vez que avançam significativamente em termos de sigilo das comunicações. Denotaria uma suposta erosão ou “obscurecimento” das capacidades investigativas do Estado em um rótulo que vem sendo estampado sob o título de Going Dark.
Por outro lado, uma série de aplicações tecnológicas inauguram uma conjuntura social e técnica que aponta para uma contra-narrativa à teoria do obscurecimento: sensores são distribuídos em ambientes domésticos e urbanos, câmeras com inteligência artificial para reconhecimento facial são elementos constantes das políticas de segurança pública ou mesmo o onipresente ecossistema do mercados de dados pessoais – e também as exigências técnicas para o oferecimento de aplicações tecnológicas – fornecem um oceano de informações sobre indivíduos que estejam sendo investigados.
Seria verdade que vivemos em uma era de ocultação ilimitada de crimes devido ao impedimento de esforços de investigação pelas tecnologias de segurança da informação que protegem a privacidade dos usuários? Ou seria inaugurada constantemente uma pervasividade de tecnologias de vigilância jamais vista, permitindo a coleta de uma variedade de dados pessoais por diferentes meios, construindo perfis e dossiês sobre indivíduos e coletividades por parte de agências estatais? Qual a equação resultante dessas duas perspectivas?
Uma narrativa emergente
Representações da segurança pública e políticos geralmente associados a discursos da “lei e ordem” afirmam que a criptografia dificulta – ou mesmo impede – a produção de provas. Nas palavras do coordenador do Laboratório de Inteligência Cibernética da Secretária de Operações Integradas do Ministério da Justiça e Segurança Pública, “os avanços tecnológicos tornam nosso mundo um lugar sombrio, paraíso cibernético para os infratores praticarem seus atos e ficarem impunes”. Em uma articulação governamental para dar visibilidade à narrativa, a entidade promoveu o I Simpósio Going Dark Brasil, ocorrido em fevereiro de 2019.
A capacidade criptográfica das aplicações de comunicação desenvolvidas pelo setor privado não estariam, segundo a Declaração Going Dark Brasil (2019) resultante do evento, considerando as “consequências da segurança pública” e, assim, permitindo que criminosos fiquem impunes, quando impedem o acesso legal a provas fundamentais. O Simpósio acima citado ainda resultou na assinatura de adesão, pelo então Ministro da Justiça Sérgio Moro, ao Statement of Principles on Access to Evidence and Encryption (2018).
O documento, inicialmente publicado pelos Procuradores-Gerais dos Estados Unidos, Reino Unido, Canadá, Austrália e Nova Zelândia, aponta que os mesmos modos da encriptação, considerada, pelo próprio documento “vital para a economia digital, para um ciberespaço seguro e para a proteção de informação de pessoal, comercial e governamental”, estão sendo usados por “criminosos, incluindo ofensores sexuais de menores, terroristas e grupos criminais organizados”. Por isso, argumentam que a “privacidade não é absoluta” e que, respeitados os devidos procedimentos legais, os provedores de tecnologia devem criar mecanismos que viabilizem o acesso legítimo à informação privada e cumpram as decisões julgadas, como mandados de busca e apreensão, ou estarão tornando as decisões da Corte “crescentemente sem significado, ameaçando minar os sistemas de justiça estabelecidos em nossas nações democráticas.”
A partir dessa lógica, o sigilo inaugurado seria algo novo e haveria um igualmente novo apagão de informações necessárias para a garantia da lei e ordem. Faz sentido dizer que o sigilo possui, hoje, um tamanho ou alcance inédito por meio da criptografia? E mais, a técnica estaria, de fato, ameaçando os sistemas de justiça?
O mercado de dados enquanto recurso investigativo
A proliferação de indústrias da informação e a quantidade de dados gerados e armazenados cresce exponencialmente a cada dia, com mais e mais dispositivos conectados (como assistentes pessoais e outros objetos domésticos, sensores, câmeras e carros conectados no espaço público, drones ou dispositivos vestíveis) e produzindo inferências comportamentais em bases de dados com potencial de armazenamento cada vez mais maiores. Dados comportamentais, interacionais, emocionais, psicológicos e sociais são, atualmente, acumulados por agentes comerciais que, por sua vez, enriquecem informações para atividades de inteligência governamental. A abundância de informações geradas por indivíduos, organizações e coletividades, não por acaso, resulta em fenômenos de infodemia, um sintoma colateral derivado da desestabilização e descontrole sobre a circulação de dados e conteúdos.
Dessa forma, a cooperação das grandes plataformas com entidades governamentais é protocolo rotineiro em atividade de investigação e ativa uma terceirização das atividades de monitoramento para as próprias aplicações, ora aproveitando modelos de negócio, ora criando o custo, via políticas públicas de cooperação mandatória, de redesenhar sistemas existentes para que empreguem técnicas que suspendam eventuais obstáculos para a eficácia dessa terceirização.
O Facebook recebeu, apenas na primeira metade de 2020, mais de 170 mil pedidos de dados por agências policiais; o Google fornece relatórios à polícia norte-americana – com base em mandados de busca cuja legalidade é, inclusive, questionados na justiça – sobre usuários e seus históricos de pesquisa no buscador; tecnologias de inteligência artificial da Amazon alertam diretamente departamentos de polícia norte-americanos quando detectam atividades que julgam suspeitas na vizinhança. E é especialmente interessante como a Amazon possui, em seu quadro de diretores, um general ligado às denúncias de vigilância em massa de Snowden, além de possuir contratos milionários de fornecimento de computação em nuvem para a Central Intelligence Agency (CIA) desde 2013.
Não somente através de instrumentos de cooperação processual dados pessoais, derivados de mercados privados, passam a compor o corpo informacional para a produção de provas e condução de investigações. Em 2020, foi documentada a participação de forças militares na compra de bancos de dados de geolocalização extraídos de aplicativos frequentados pela comunidade muçulmana. A extensão desse acesso simplificado chega a acordos comerciais de agências de investigação com entidades privadas na compra de dados hackeados, obtidos ilegalmente, cuja cadeia de custódia parte de práticas maliciosas até chegar aos servidores governamentais. Esse acesso, via mercado privado, é facilitado quando o percurso de obtenção não passa pela ordem judicial, mas por um simples contrato de compra e venda.
Nos jardins das plataformas de criptografia ponta-a-ponta também são disponibilizados dados pessoais suficientemente reveladores de perfis comportamentais e, especificamente, comunicacionais. Metadados (informações sobre emissor e remetente de mensagens, hora de envio, data, localização, incluindo lista de contatos, entre outros dados conexos ao uso das plataformas), não são encriptados nas grandes plataformas de mensageria. Agências de segurança, consequentemente, têm acesso a esses conjuntos de informações e os instrumentalizam para construir dossiês na esteira de investigações. Casos emblemáticos de investigações, para falar só no Brasil, cujos metadados foram decisivos são a Lava Jato e na investigação do assassinato de Marielle Franco e Anderson Gomes.
Observamos, portanto, um insólito going bright, uma claridade crescente a partir do registro e transação dos mais discretos detalhes, na sedimentação do que Kenneth Laudon chama de “sociedade do dossiê” ou naquilo que Shoshana Zuboff aponta como “capitalismo de vigilância”. A lógica de extração e circulação de dados, em um primeiro plano, simplesmente não permite concluir por um obscurecimento da produção de provas. Logo, o mercado de dados pessoais e a vigilância governamental se encontram e operam de forma indissociável.
Sem lugar pra se esconder: o hacking do Estado
Se a retomada da autonomia informacional do usuário através de técnicas para assegurar o canal de comunicação, como a criptografia, reconfiguram a cultura investigativa baseada em interceptação de comunicações em trânsito, como as telefônicas, serviços tecnológicos de vigilância e extração de dados encriptados são oferecidos por atores privados a centenas de agências de investigação.
Ferramentas de hacking vêm sendo empregadas por agências de segurança pública e investigação do norte ao sul global. Segundo relatório publicado em 2020 pela UpTurn, todos os cinquenta Estados norte-americanos empregam, com entrada tanto em agências federais quanto em departamentos de polícia locais, ferramentas de hacking em operações que vão de crimes hediondos a crimes de menor potencial ofensivo, como pixação ou prostitução. Uma das fornecedoras de maior renome, a Cellebrite, é fiadora de técnicas de extração de dados em variados Estados brasileiros: em Pernambuco, sua tecnologia é usada em investigações de homicídios e em “demandas especiais”; em Minas Gerais, informações apontam para a rotina com softwares de hacking pela Polícia Civil; a Polícia Civil do Rio Grande do Sul, igualmente, reporta o uso de softwares da Cellebrite para a extração de dados de celulares de investigados, além de ser conhecido seu uso na Lava Jato e em outras operações da Polícia Federal, para citar apenas alguns casos.
Paira no país, cabe frisar, um deserto regulatório sobre a operacionalização, em sede de processos criminais, de tecnologias de vigilância e extração em massa de dados, como as de hacking, além da necessidade de renovação de uma construção teórica sobre a instituição de práticas de invasão de dispositivos através da exploração de vulnerabilidades. Além de serem ferramentas de alto risco se caírem em posse de atores indesejados, abrem brecha para usos ilegítimos de repressão a opositores ou dissidentes políticos, e podem aprofundar a seletividade penal, de caráter socioeconômico, no país. Esses são alguns dos riscos estruturais, vale notar, derivados da fragilização da criptografia.
Para estabelecer balizas rígidas no melhor interesse da procedimentalização dessas técnicas no campo da segurança pública, garantindo salvaguardas aos direitos e liberdades fundamentais, será necessário que a agenda legislativa paute o Anteprojeto de Lei de Proteção de Dados para fins segurança pública e persecução penal. A morosidade em pautar o projeto apenas lança insegurança jurídica para agências de investigação, que correm o risco de ver as provas produzidas com o auxílio de tecnologias de vigilância invalidadas por não haver unificação de entendimento legal, ao passo que desassiste indivíduos que são alvos de procedimentos que correm à margem das garantias processuais sobre o devido processo legal.
Conclusão
Sobre se há um possível “ineditismo” do sigilo criptográfico, a resposta é sim e não. Sim porque a criptografia de chave pública, de fato, promove uma disrupção comunicativa quando institui a criptografia de ponta-a-ponta. Isso democratiza direitos e massifica, em termos de consumo, o acesso a meios de comunicação à distância seguros (diferente do rádio, telégrafo ou mesmo do telefone convencional, que são facilmente interceptáveis).
E não porque sempre houve, em certa medida, meios de comunicação “absolutamente privados”. Sempre foi possível se comunicar pessoalmente em um lugar remoto, queimar cartas e diários com mensagens e confissões sensíveis. Com frequência acessamos espaços inacessíveis de privacidade integral para exercitar expressões relacionadas à intimidade e ao sigilo dos dados e comunicações. Não vinga, portanto, a hipótese de que a criptografia os inaugura.
Mas cabe notar que, em sentido contrário, jamais houve espaços de vigilância absoluta, de total inserção do Estado nos círculos da vida privada – e nem haveria de haver. Ainda que ensaios dessa possibilidade sejam identificados em regimes menos democráticos, em geral a guardamos em um referencial literário reservado a ficções distópicas. Em um Estado democrático de direito, políticas inclinadas a esses regimes devem ser afastadas.
Salta a dúvida sobre os interesses do “imaginário do pânico” derivados da narrativa going dark. Negar a possibilidade de existência de espaços de total privacidade, enquanto técnica retórica no contexto de políticas públicas, parece ser um presságio que pede atenção. Na medida em que são rotuladas como “irresponsáveis” ou ilegais as ferramentas de proteção à privacidade, como a criptografia forte, abre-se espaço para que estruturas de confiança em sistemas de informação e comunicação recebam tratamento indevido, que as comprometam e levem a cadeia de usuários a riscos sociais, políticos e econômicos.