Quebra da criptografia dos aplicativos de mensagem: mais uma vez o debate em torno do WhatsApp e das organizações criminosas

15 de January de 2019 Off By Luis Irapuan Campelo Bessa Neto

Neste artigo, o colunista Luis Irapuan Campelo Bessa Neto analisa o trabalho da Comissão de Juristas da Câmara dos Deputados, responsável pela elaboração de propostas legislativas no tocante ao combate às organizações criminosas, mais precisamente a proposta de inclusão de “instrumentos mais eficazes para a investigação” desses grupos.

 

 

 

Na semana passada, noticiou-se[1]que a Comissão de Juristas responsável pela elaboração de anteprojeto de legislação de medidas investigativas, processuais e de regime de cumprimento de pena em relação à criminalidade organizada, instituída em outubro de 2017, por ato do presidente da Câmara dos Deputados, Rodrigo Maia, e presidida por Alexandre de Moraes, Ministro do Supremo Tribunal Federal, teria enviado à presidência da Câmara uma lista que abordou 11 grandes temas acerca das mudanças necessárias para o efetivo combate às organizações criminosas, consubstanciados em 2 Projetos de Lei (n° 10.372/2018 e 10.373/2018).

Dentre as medidas propostas, como a criação de Lei que possibilite a formulação de “Acordos de não persecução penal”[2], a introdução da figura do “Cidadão Colaborador”[3]e a instituição da “Perda alargada”[4], uma merece maior destaque: a criação de “Instrumentos mais eficazes para a investigação de organizações criminosas”. E como principal escopo destes novos instrumentos, estaria a previsão de obrigatoriedade às empresas provedoras de serviços de internet, redes sociais e de aplicativos de comunicação de disponibilização às autoridades persecutórias de “meios de acesso e quebra de sigilo de troca de mensagens de membros de organizações criminosas pela internet, redes sociais ou aplicativos de mensagens […]”.  

A discussão em torno da obrigatoriedade de as empresas responsáveis pelos aplicativos de comunicação, como WhatsAppe Telegram, fornecerem o conteúdo de mensagens trocadas por seus usuários às autoridades de persecução criminal, quando ordenado pela Justiça, não é nova. Especialmente no ano de 2016, inúmeras decisões judiciais ordenando a suspensão do aplicativo WhatsAppem todo o país, por descumprimento de ordem judicial referente à suposta obrigatoriedade de as empresas revelarem o conteúdo de conversas travadas por investigados, sobretudo de integrantes de organizações criminosas, foram alvo de caloroso debate e de indignação da população, que se viu privada de um dos serviços mais essenciais na atualidade. Não por outro motivo, foram propostas duas ações no Supremo Tribunal Federal a fim de obstar a possibilidade de magistrados suspenderem o aplicativo de mensagens: a Arguição de Descumprimento de Preceito Fundamental – ADPF n° 403 e a Ação Direta de Inconstitucionalidade n° 5.527, que contesta dispositivos da Lei n° 12.965/2014, Lei do Marco Civil da Internet. 

O debate acerca do fornecimento de conversas entre usuários de aplicativos de mensagem passa, inicialmente, por uma análise técnico-operacional do sistema, ou seja, da efetiva possibilidade de os provedores de aplicativos de mensagens, como o WhatsApp, terem acesso às conversas realizadas entre dois ou mais usuários da plataforma. E nesse ponto, a comunidade especializada é uníssona: o sistema de criptografia ponta-a-ponta – o WhatsAppé signatário do Signal Protocol, criado pelo grupo independente Open Whisper Systems, e recomendado pela ONG Anistia Internacional – não permite a terceiros, que não os interlocutores, acesso ao conteúdo compartilhado. As mensagens saem dos dispositivos eletrônicos já criptografadas e não são armazenadas pelos servidores da empresa, a qual funciona apenas como plataforma operacional. Ou seja, com os meios de que se dispõem hoje, não é possível a quebra da criptografia ponta-a-ponta.

Esse modelo de negócios das empresas visa justamente a segurança da informação e a privacidade do usuário, agregando valor ao seu produto e confiabilidade de seus consumidores, em consonância com os princípios da internet no Brasil, elencados no artigo 3° da Lei do Marco Civil da Internet. A criptografia ponta-a-ponta, portanto, não é um obstáculo apenas aos terceiros invasores, mas a todos, inclusive ao próprio aplicativo de mensagens, que não mais possui uma chave-geral – back-door– pois todas as mensagens encaminhadas são protegidas por uma criptografia própria, tendo somente o destinatário a chave para sua visualização.

O sistema de criptografia, por conseguinte, é a base da rede mundial de computadores, sempre visando seu aperfeiçoamento e o melhoramento dos instrumentos de proteção dos usuários e de segurança das informações. A possibilidade de quebra de criptografias, por exemplo, reduziria os sistemas bancários à era primitiva, pois que não mais haveria segurança em sua continuidade. Justamente por esses motivos, a criptografia e suas novas formas estão sempre em busca da impossibilidade técnica de quebra e manipulação por terceiros. A criptografia dos sistemas tecnológicos é pensada exatamente para que não haja brechas, as quais permitiriam a quebra da segurança.

Não bastasse a própria Lei do Marco Civil da Internet incentivar as empresas a buscar meios cada vez mais efetivos na proteção da intimidade e privacidade dos usuários, o Decreto n° 8.771/2016 dispõe, em seu artigo 13, inciso IV, que, “Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança: […] IV – o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes”. Verifica-se, portanto, que o ordenamento jurídico brasileiro dá azo às novas tecnologias de proteção à informação, tudo em compasso com as melhores práticas internacionais (artigo 3°, inciso V, da Lei do Marco Civil da Internet).

Por outro lado, sabe-se que o acesso às informações transmitidas pelos aplicativos de mensagens são, muitas das vezes, imprescindíveis para o desmantelamento de organizações criminosas, que utilizam frequentemente tais dispositivos, sobretudo por ainda não haver meios técnicos de acompanhamento por terceiros das mensagens trocadas. Por esse motivo, surgem medidas como a indicada no início do texto, tendentes a obrigar as empresas, especialmente as provedoras de aplicativos de comunicação, a operacionalizar formas de acesso às mensagens encaminhadas, como requisito para atuarem em território nacional. Infelizmente, a exceção – necessidade de acesso para fins de persecução criminal – acaba por impor medida desproporcional a todos os usuários, que terão sua privacidade e segurança das informações relativizadas, pois que terceiros poderão, eventualmente, ter acesso às mensagens transmitidas, e não apenas as autoridades de investigação. Veja que se trata do afrouxamento das amarras de segurança que impedem terceiros, alheios à conversa, de obterem as informações trocadas, e não apenas de impedir o acesso aos órgãos de persecução criminal. Afinal de contas, na internet, quando você deixa uma porta aberta, ela fica aberta para todos, e não apenas com garantias para alguns poucos – vide os recentes casos que atingiram usuários, tanto privados quanto governamentais, em todo o mundo, como o da WannaCry.

O Poder Público, portanto, afirma que os aplicativos de comunicação deveriam se enquadrar aos ditames legais brasileiros (sobretudo o artigo 11, § 2°, da Lei do Marco Civil da Internet), formulando meio de acesso e transmissão das conversas quando requisitados por ordem judicial. Ocorre que, como visto, a sistemática de criptografia ponta-a-ponta não permite o acesso e transmissão do conteúdo das mensagens, impossibilidade que abarca as próprias empresas fornecedoras do serviço, sendo possível o acesso apenas aos chamados metadados(“dados sobre os dados”, informações como: quem são os interlocutores; data e horários da troca de mensagens; etc.). Nesse sentido, seria necessário que os provedores de aplicativos de mensagens reformulassem seus produtos, alterando seus modelos de negócio e a forma como tratada a privacidade e a intimidade de seus consumidores. Além da questionável constitucionalidade acerca da interferência estatal no modelo de negócios das empresas, a medida se consubstanciaria em verdadeiro enfraquecimento à proteção dos dados dos usuários, que estariam mais suscetíveis ao ataque de hackers, por exemplo.

A opção legislativa, portanto, passa essencialmente por uma indagação: Impor a alteração do modelo de negócios da empresa, relativizando a criptografia ponta-a-ponta, seria o meio mais inteligente e eficaz de monitoramento de mensagens trocadas entre integrantes de uma organização criminosa? Por certo que não. Isso porque, além de haver intromissão estatal indevida no modelo de negócios das empresas, sua efetividade poderia ser facilmente contestada, haja vista que, em se tratando de organizações criminosas, que tentam a todo momento burlar e lançar sombras aos olhos das autoridades, a busca por novos aplicativos de mensagem, ou até mesmo a criação deles, poderia facilmente substituir aqueles até então utilizados, e de maior relevância, como o WhatsApp.

O tema, inclusive, já fora debatido na Alemanha, chegando o Tribunal Constitucional Federal à conclusão de que, no caso específico de criptografia na internet, a liberdade do modelo de negócios das empresas não autorizaria o Poder Público a impor obrigações no sentido de alterar o produto por ela comercializado. Com essa limitação, o Parlamento (Bundestag), no ano de 2017, optou por aprovar uma Lei que possibilita às autoridades de investigação, após a devida demonstração e autorização do Poder Judiciário, “vigiar”, com a utilização de programas “espiões” (espelhamento do celular do investigado), as mensagens trocadas pelos investigados.[5]Por certo as limitações e requisitos para assim proceder devem estar traçados de forma clara na legislação pertinente, sobretudo no tocante à forma como se dá, período, âmbito de aplicação, limitação ao aplicativo alvo, rol de crimes taxativo para a aplicação da medida, preservação da cadeia de custódia da prova, etc.

O presente artigo, portanto, visa trazer um elemento a mais ao debate acerca das novas legislações de combate às organizações criminosas, indicando soluções mais adequadas à realidade tecnológica atual, a fim de que não se tenha indevida interferência no modelo de negócios das empresas privadas com a adoção de medidas inócuas do ponto de vista tecnológico e de facilidade de burla ao sistema, como a utilização de novos/outros aplicativos, e para que não se promova uma relativização generalizada dos direitos fundamentais dos cidadãos.

[1]Disponível em: <https://www.conjur.com.br/2019-jan-10/juristas-propoem-leis-duras-organizacoes-criminosas>. Acessado em 11/01/2018.

[2]Já regulamentados pelo Conselho Nacional do Ministério Público, por meio da Resolução n° 183/2018, em que pese não existir lei, em sentido estrito, acerca do tema.

[3]Sobre o tema, consultar: <https://consultorpenal.com.br/whistleblowing-como-instrumento-de-combate-a-corrupcao/>.

[4]Sobre o tema, consultar: <https://consultorpenal.com.br/da-perda-classica-a-perda-alargada-a-extensao-dos-efeitos-do-confisco-e-o-panorama-brasileiro/>.

[5]Disponível em: <https://www.oficinadanet.com.br/post/19408-alemanha-aprova-lei-que-torna-possivel-a-interceptacao-de-mensagens-do-whatsapp>. Acessado em 11/01/2018.