Nascida fora do Brasil e sem participação da sociedade civil, a FrenCyber é o mais novo fruto da união entre a extrema-direita e o poder das big techs
Pedro Silva Neto, pesquisador do IP.rec
Raquel Saraiva, presidenta do IP.rec
O Congresso Nacional agora tem o seu próprio grupo – ou bancada – para tratar de cibersegurança. A nova Frente Parlamentar de Apoio à Cibersegurança e à Defesa Cibernética (FrenCyber) foi instalada no dia 25 de março com os objetivos centrais de promover o debate sobre políticas públicas de defesa cibernética, propor a atualização da matriz brasileira de segurança de dados e fortalecer a indústria de cibersegurança e sua parceria com os órgãos públicos. A oficialização da Frente vem se somar a outros esforços no Congresso para pautar a segurança cibernética do país e dos brasileiros, como a criação da Subcomissão Permanente de Defesa Cibernética no Senado, que aguarda sua instalação, e a proposição da PEC 3/2020, que centraliza na União a legislação sobre defesa cibernética. Além dela, o PL 402/2024 disciplina o uso de ferramentas de monitoramento remoto por órgãos públicos, e os PLs 4400/2021 e 651/2022 tratam da criminalização de fraudes digitais e estelionato online. Até mesmo a proposta de reforma do Código Civil traz um novo livro inteiramente dedicado aos direitos digitais, que aborda, entre outros tópicos, a construção de ambientes online mais seguros e a proteção de dados pessoais.
Esforços suprapartidários para tratar de cibersegurança são mais do que necessários, especialmente numa quadra da história em que tanto a digitalização da vida quanto as possibilidades de intrusão cibernética decorrentes dela avançam em progressão geométrica. Pautar esse debate no Congresso é uma oportunidade de enfrentar as contradições que marcam os diálogos sobre segurança digital e proteção de dados, abrindo espaço para que a sociedade participe ativamente e fiscalize a atuação dos setores público e privado nesse campo.
Na busca por proteção digital e pelo aprimoramento de suas capacidades de investigação, muitos governos recorrem a ferramentas de intrusão cibernética, desenvolvidas, em grande parte, por empresas privadas. No entanto, episódios recentes demonstraram que a adoção irrestrita dessas tecnologias, sem transparência ou mecanismos de prestação de contas, pode rapidamente se transformar em um instrumento de repressão e ameaça à democracia.
No começo deste ano, o WhatsApp denunciou que ataques efetuados por meio de um spyware da empresa Paragon Solutions afetaram cerca de 90 pessoas, incluindo jornalistas e ativistas, em mais de 20 países, especialmente na Europa. Jornalistas exilados da Rússia, Letônia e Bielorrússia foram alvos, entre 2020 e 2023, de monitoramento através do spyware Pegasus. A ferramenta também foi usada em 2018 para monitorar pessoas próximas a Jamal Khashoggi, jornalista assassinado no consulado da Arábia Saudita em Istambul, Turquia. O mesmo Pegasus foi objeto de uma tentativa de compra do Ministério da Justiça e Segurança Pública do Brasil. A transação foi interrompida após o UOL revelar que a movimentação fazia parte de um esforço para aumentar a capacidade de vigilância da então chamada “Abin paralela”.
A mobilização suprapartidária, a independência necessária para levar as discussões adiante e a participação da sociedade civil, fundamentais para evitar uma guinada autoritária dos esforços de cibersegurança, no entanto, não parecem estar na base da criação da FrenCyber – ou pelo menos não exatamente. Ao analisar a lista de integrantes da Frente, salta aos olhos a predominância de parlamentares alinhados à extrema-direita, incluindo figuras ligadas ao governo do ex-presidente Jair Bolsonaro, como os senadores Hamilton Mourão (Rep-RS), Damares Alves (Rep-DF), Sérgio Moro (União-PR), Flávio Bolsonaro (PL-RJ) e Marcos Pontes (PL-SP). A deputada Tabata Amaral (PSB-SP) é a única representante de centro-esquerda no grupo.
Um dado revelado pelo Intercept Brasil que deixa um cheiro de fumaça no ar é a ligação dos senadores e deputados da FrenCyber com o lobby das big techs e de empresas de cibersegurança. A matéria destaca que, quatro meses antes da criação da Frente, senadores que a compõem viajaram em comitiva a Washington para discutir segurança cibernética e parcerias com o setor privado. A visita foi organizada pela DigiAmericas – entidade que reúne gigantes do setor digital, como Amazon Web Services, Apple, Google, Cloudflare, Cisco e Mastercard – em parceria com o Banco Interamericano de Desenvolvimento.
Durante a viagem, o senador Esperidião Amin (PP-SC), que mais tarde assumiria a presidência da FrenCyber, também se reuniu com integrantes da National CyberForensics and Training Alliance (NCFTA), organização que conecta empresas privadas e agências de segurança pública. A NCFTA, conhecida por intermediar o compartilhamento de informações entre corporações e o FBI sem divulgação pública, desperta preocupações sobre transparência e privacidade. Além disso, a falta de uma lista completa de entidades participantes dificulta a avaliação do impacto e da influência dessas colaborações.
Enquanto as empresas estão nadando de braçada na representação da FrenCyber, a sociedade civil e a academia não conseguiram o mesmo espaço, o que faz com que o debate sobre cibersegurança tenha apenas as perspectivas econômica e punitivista em destaque, não havendo qualquer espaço para pautas como proteção de dados pessoais e privacidade de cidadãos e cidadãs. Isso está expresso no evento de lançamento da Frente, que contou com a presença de diversas entidades empresariais, mas nenhuma da sociedade civil.
Jogo de interesses, mas quais interesses?
A direita e a extrema-direita são notórias articuladoras das pautas relacionadas à segurança pública no país. São delas as visões, o linguajar, as motivações e as soluções. Mesmo governos à esquerda têm dificuldades para escapar ao solucionismo beligerante que aponta o enfrentamento armado nas ruas e encarceramento em massa como as únicas táticas possíveis para lidar com a criminalidade no Brasil. A essência desse posicionamento reside na crença de que é válido suprimir qualquer direito em favor da segurança.
A “bancada da bala”, o grande número de parlamentares oriundos das polícias e das forças armadas, os discursos nos plenários defendendo uma violência irrestrita contra criminosos e “invasores de terra”, tudo isso é a materialização de um vigilantismo legislativo encabeçado por parlamentares com posições reacionárias. E agora esse mesmo grupo irá orientar as discussões sobre cibersegurança no Congresso.
Os debates sobre proteção online já são “naturalmente” cindidos entre a defesa da privacidade e a defesa da segurança. Essa falsa dicotomia – pois uma não pode existir sem a outra – é agravada quando pautas que tocam profundamente em nossos temores são postas na mesa, como a proteção de crianças, a luta contra o crime organizado e a prevenção ao terrorismo. Algum desses três tópicos – quando não os três – foi utilizado em todos os países do mundo que propuseram leis e tocaram ações que comprometem a privacidade de mensagens privadas e dados de navegação, justificam o uso de reconhecimento facial nos espaços públicos e de ferramentas de spyware, impõem um controle propositalmente vago de determinados assuntos na internet, o que pode levar à censura, e um sem número de outras medidas que mais aumenta a violência do que protege a sociedade digitalizada.
O uso irrestrito de ferramentas de intrusão cibernética já vinha se expandindo entre as forças de segurança pública brasileiras, mas foi durante o governo Bolsonaro que essa prática ganhou novos contornos e um alcance inédito. Segundo a pesquisa Mercadores da Insegurança, do IP.rec, diversas polícias estaduais e órgãos federais passaram a contratar soluções de hacking e monitoramento oferecidas por empresas privadas, sem garantias de controle institucional, transparência ou salvaguardas legais.
O martelo que bate um prego, no entanto, também pode esmagar uma cabeça. Nesse cenário da explosão do uso de ferramentas de monitoramento e extração de dados, consolidou-se uma estrutura informal de espionagem no centro do poder executivo, a já mencionada “Abin paralela”. Operando à margem dos canais oficiais, esse grupo utilizou tecnologias como o software FirstMile para acessar, de forma clandestina, dados de localização em tempo real de cidadãos brasileiros. A vigilância não se restringia a opositores políticos, alcançando também servidores públicos, aliados e até membros do próprio governo. Agora, muitos dos nomes ligados ao mesmo governo Bolsonaro que utilizou ferramentas de ciberinteligência de forma política compõem a FrenCyber.
Se uma mão pede por mais e melhores ferramentas de espionagem digital, fazendo negócios opacos com empresas de cibersegurança que trocam de nome e representantes a todo momento para fugir de prestações de contas e escândalos, a outra mão se estende para as big techs proprietárias das grandes plataformas digitais, cujos representantes percorrem os corredores de Brasília para igualmente escapar da responsabilização.
O lobby dessas empresas tem se consolidado junto a parlamentares da direita e extrema-direita, especialmente nas discussões sobre regulamentação, através dos quais resistem a propostas que preveem mais transparência, controle sobre tecnologias sensíveis e responsabilização pelo impacto social de seus sistemas. Apresentando-se como defensoras da inovação e da liberdade, essas empresas atuam em aliança com setores políticos que promovem o expansionismo da vigilância digital. A extração massiva de dados beneficia tanto a vigilância estatal quanto a alimentação de algoritmos e a publicidade online, e é aqui que as empresas que vendem ferramentas de monitoramento e aquelas que importam um discurso de “liberdade de expressão” absoluta apertam as mãos.
Riscos bem conhecidos
A ausência de vozes progressistas no debate sobre cibersegurança pode colocar em xeque as perspectivas sobre proteção de direitos das pessoas no que se refere à implementação de políticas públicas. Muito se discute, por exemplo, sobre a possibilidade de introdução de backdoors em aplicativos de mensageria privada que utilizam criptografia de ponta a ponta para acesso a dados por órgãos de investigação criminal. Após o Reino Unido declarar a intenção de perseguir esse caminho, a União Europeia decidiu que seria uma boa ideia fazer uma tentativa no mesmo sentido. Aqui no Brasil, o debate é cíclico, recorrente, sendo objeto da ADI 5527 e da ADPF 403, atualmente na pauta de julgamento do Supremo Tribunal Federal. Como já falamos exaustivamente, esta é uma “não solução”, pois desprotege os usuários, expondo-os a roubo de dados, fraudes, entre outros riscos, além de ser uma clara infração à privacidade e à proteção de dados pessoais.
Uma frente parlamentar que não discuta esse tema pela perspectiva dos usuários, levando em conta apenas o que dizem as autoridades públicas e as empresas, traz um prejuízo enorme aos direitos fundamentais.
Além disso, há uma questão importante de proteção à soberania nacional. Representantes da extrema-direita já demonstraram publicamente um alinhamento com o governo Donald Trump, com o próprio Jair Bolsonaro afirmando que seria um “informante” do governo estadunidense e que “o problema do Brasil tem que resolver com apoio vindo de fora”. Nesse sentido, há o perigo de que as discussões sobre cibersegurança sejam cooptadas por empresas estrangeiras e que as decisões sobre as políticas de cibersegurança para o Brasil sejam direcionadas a estes entes, colocando em risco as informações sensíveis compartilhadas por autoridades e cidadãos.
Da parte das empresas de cibersegurança, não seria inédito que elas vendessem ferramentas para um país enquanto fornecessem dados sobre seus usos para outro. Assim ocorreu com a Crypto AG, que passou décadas repassando informações sobre seus serviços de criptografia para os órgãos de inteligência dos EUA e da Alemanha. O que impede que empresas provedoras de ferramentas de intrusão cibernética façam o mesmo, sobretudo num momento de escalada dos conflitos geopolíticos e no qual gozam da simpatia deletéria do Congresso brasileiro?
Pensar um recomeço para o debate
A discussão sobre cibersegurança no Brasil já há algum tempo gira em torno dos mesmos assuntos e demandas, como a regulação das ferramentas de monitoramento e extração de dados, principalmente no que diz respeito a suas limitações e prestação de contas; a criação de uma agência reguladora de cibersegurança, tópico que tem sido recorrentemente abordado pelo Gabinete de Segurança Institucional (GSI); a participação no debate internacional sobre uso e controle de spywares; e as próprias discussões éticas e legais inerentes ao tema, orientadas para um equilíbrio entre a necessidade por segurança e o respeito aos outros direitos fundamentais.
Embora a lista de objetivos da FrenCyber contemple esses tópicos, a atuação de seus participantes em Brasília e o próprio nascimento envolto em sombras da Frente desmente qualquer intenção proclamada de fazê-la fortalecedora da democracia e da sociedade. A ausência da sociedade civil organizada e da academia no processo de construção e lançamento do grupo é mais do que um sinal disso, é um aviso: as discussões a portas fechadas sobre ferramentas de espionagem estatal seguirão secretas, restritas a quem as compra e a quem as vende.
Mesmo o debate sobre segurança pública, que ocupa diariamente e escandalosamente os noticiários e as conversas comuns, é marcado por uma enorme opacidade e ergue barreiras para a participação popular e de especialistas. Os caminhos oferecidos por gestores públicos e parlamentares para que se “incida” na conversa são, na verdade, um convite a se repetir chavões superficiais, acríticos e punitivistas que apenas reforçam o status quo.
Permitir que o mesmo processo se repita numa discussão pouco familiar para a maior parte da população, como é o debate sobre cibersegurança, é um caminho para suprimir direitos e nos fazer celebrar isso como a solução dos nossos males.
