ONU finalmente promove uma convenção sobre crimes cibernéticos… e ninguém está feliz com isso

Artigo relata como regimes autoritários podem se beneficiar da lei para perseguir minorias ou adversários políticos

Este artigo foi publicado originalmente em inglês no site do think tank Atlantic Council

Por Lisandra Novo

Em 8 de agosto, uma saga contenciosa sobre visões drasticamente divergentes sobre como lidar com o crime cibernético finalmente chegou ao fim após três anos de negociações de tratados na ONU (Organização das Nações Unidas). O Comitê Ad Hoc criado para redigir a convenção sobre crime cibernético a adotou por consenso, e o alívio na sala era palpável. Os Estados-Membros, o comitê e, especialmente, a presidente, a embaixadora argelina Faouzia Boumaiza-Mebarki, trabalharam por muito tempo para chegar a um acordo. Se adotada pela Assembleia Geral da ONU no final deste ano, como é esperado, será a primeira convenção global e juridicamente vinculativa sobre crime cibernético. No entanto, essa conquista histórica não deve ser comemorada, pois representa riscos significativos para os direitos humanos, a segurança cibernética e a segurança nacional.

Como isso aconteceu? A Rússia, que há muito se opõe à Convenção de Budapeste de 2001 do Conselho da Europa sobre crimes cibernéticos, iniciou esse processo em 2017. Então, em 2019, a Rússia, juntamente com China, Coreia do Norte, Mianmar, Nicarágua, Síria, Camboja, Venezuela e Belarus, apresentou uma resolução para desenvolver um tratado global. Apesar da forte oposição dos Estados Unidos e dos Estados europeus, a Assembleia Geral da ONU adotou uma resolução em dezembro de 2019, por uma votação de 79 a favor e 60 contra (com 30 abstenções), que oficialmente iniciou o processo. Já estava claro que os Estados-Membros não compartilhavam uma visão. Na verdade, eles não conseguiram nem concordar com um nome para a convenção até a semana passada. O que eles acabaram estabelecendo um ‘palavrão’: “Projeto de convenção das Nações Unidas contra crimes cibernéticos: Fortalecimento da cooperação internacional para combater certos crimes cometidos por meio de sistemas de tecnologia da informação e comunicação e para o compartilhamento de evidências em formato eletrônico de crimes graves”.

Hacker (Foto: Stillness InMotion/Unsplash)

Este nome excessivamente longo revela um dos maiores problemas com esta convenção: seu escopo. Em sua essência, esta convenção tem como objetivo permitir que as autoridades policiais de diferentes países cooperem para prevenir, investigar e processar crimes cibernéticos, que custam trilhões de dólares globalmente a cada ano. No entanto, a convenção abrange muito mais do que os crimes cibernéticos típicos que vêm à mente, como ransomware, e inclui crimes cometidos usando tecnologia, o que reflete as diferentes visões sobre o que constitui crime cibernético. Como se isso não fosse amplo o suficiente, Rússia, China e outros Estados tiveram sucesso em pressionar por negociações sobre um protocolo adicional que expandiria a lista de crimes ainda mais. Além disso, sob a convenção, os Estados-Partes devem cooperar na “coleta, obtenção, preservação e compartilhamento de evidências em formato eletrônico de qualquer crime grave” — que no texto é definido como um crime punível com quatro anos ou mais de prisão ou uma “pena mais grave”, como a pena de morte.

Na Rússia, por exemplo, a associação com o “movimento LGBT internacional” pode levar a acusações de extremismo, como o crime de exibir “símbolos de grupos extremistas”, como a bandeira do arco-íris. Uma primeira condenação acarreta uma pena de até 15 dias de detenção, mas uma reincidência acarreta uma pena de até quatro anos. Isso significa que uma reincidência se qualificaria como um “crime grave” sob a convenção de crimes cibernéticos e seria elegível para assistência de autoridades policiais em outras jurisdições que podem possuir evidências eletrônicas relevantes para a investigação — incluindo tráfego, assinantes e até mesmo dados de conteúdo. Considerando o quanto da vida moderna é realizada digitalmente, haverá algum tipo de evidência eletrônica para quase todos os crimes graves sob qualquer legislação doméstica. Até mesmo os próprios especialistas em direitos humanos da ONU alertaram contra essa definição ampla.

Além disso, sob a convenção, os Estados-Partes são obrigados a estabelecer leis em seu sistema doméstico para “obrigar” os provedores de serviços a “coletar ou registrar” dados de tráfego ou conteúdo em tempo real. Muitos dos Estados por trás do impulso original para estabelecer esta convenção há muito buscam esse poder sobre empresas privadas. Ao mesmo tempo, os Estados-Partes são livres para adotar leis que mantenham as solicitações para obrigar dados de tráfego e conteúdo confidenciais — ocultando essas ações em segredo. Enquanto isso, os motivos para um país recusar uma solicitação de cooperação são limitados a casos como quando seria contra a “soberania”, segurança ou outro interesse “essencial” desse país, ou se seria contra as próprias leis desse país. A convenção contém uma vaga ressalva de que nada nela deve ser interpretado como uma obrigação de cooperar se um país “tiver motivos substanciais” para acreditar que a solicitação é feita para processar ou punir alguém por seu “sexo, raça, idioma, religião, nacionalidade, origem étnica ou opiniões políticas”.

A Rússia alegou que tais salvaguardas básicas, que oferecem alguma proteção no exemplo sobre a atividade LGBT como “extremista”, eram meramente uma oportunidade para alguns países “abusarem” da oportunidade de rejeitar solicitações de cooperação. Essas salvaguardas, inversamente, também poderiam ser abusadas pelos mesmos Estados que se opuseram a elas. A delegação iraniana, por sua vez, propôs uma votação para excluir essa disposição, bem como todas as outras salvaguardas de direitos humanos e referências a gênero, no dia em que o texto foi adotado. Essas disposições já haviam sido enfraquecidas significativamente ao longo do processo de negociação e só sobreviveram graças à posição firme tomada por Austrália, Canadá, Colômbia, Islândia, União Europeia (UE), México e outros que traçaram uma linha vermelha e se recusaram a aceitar mais mudanças.

As possíveis consequências negativas desta convenção não se limitam aos direitos humanos, mas podem ameaçar seriamente a segurança cibernética global e a segurança nacional. A Câmara de Comércio Internacional, uma organização empresarial global que representa milhões de empresas, alertou durante as negociações que “pessoas que têm acesso ou possuem o conhecimento e as habilidades necessárias” podem ser forçadas “a quebrar ou contornar sistemas de segurança”. Pior, elas podem até ser obrigadas a divulgar “vulnerabilidades previamente desconhecidas, chaves de criptografia privadas ou informações proprietárias, como código-fonte.” A Microsoft concordou. Sua representante, Nemanja Malisevic, acrescentou que este tratado permitirá “a divulgação não autorizada de dados confidenciais e informações classificadas a terceiros Estados” e que “atores maliciosos” usem um tratado da ONU para “forçar indivíduos com conhecimento de como um sistema funciona a revelar informações proprietárias ou confidenciais”, o que pode “expor a infraestrutura crítica de um Estado a ataques cibernéticos ou levar ao roubo de segredos de Estado”. Malisevic concluiu que isso “deveria aterrorizar a todos nós”.

Da mesma forma, organizações de mídia independentes pediram que os Estados rejeitassem a convenção, que o International Press Institute (Instituto Internacional de Imprensa) chamou de “tratado de vigilância ”. Organizações da sociedade civil, incluindo Electronic Frontier Foundation, Access Now, Human Rights Watch e muitas outras, também vêm há muito tempo soando o alarme. Elas continuam a fazê-lo, pois a versão final da convenção adotada pelo comitê não conseguiu abordar adequadamente suas preocupações.

Dada a extensão e a natureza transfronteiriça do crime cibernético, é evidente que um tratado global é necessário e urgente — sobre isso, a comunidade internacional está em total acordo. Infelizmente, esse tratado, talvez um produto de pensamento falacioso de custo irrecuperável ou acordado sob coação por medo de uma versão ainda pior, não resolve os problemas que a comunidade internacional enfrenta. Se a Assembleia Geral da ONU adotar o texto e os 40 Estados-membros necessários o ratificarem para que entre em vigor, os especialistas estão certos em alertar que os governos que pretendem se envolver em vigilância terão o verniz da legitimidade da ONU estampado em suas ações. Estados que respeitam os direitos não devem se permitir serem cooptados para auxiliar práticas abusivas sob o pretexto de cooperação. Nem devem abrir voluntariamente a porta para enfraquecer sua própria segurança nacional ou a segurança cibernética global.

Leia mais artigos em A Referência

Tags: