Por Felipe Américo Moraes, mestrando em Direito Empresarial e especialista em Direito Penal Econômico. É advogado criminalista na Beno Brandão Advogados Associados. E-mail: felipe@benobrandao.com.br.

Operação conduzida pela Polícia Federal do Paraná, denominada Enterprise, desmantelou nos últimos meses um grupo de traficantes internacionais. Além da prática do mencionado crime, também foi constatado que os integrantes dessa organização faziam uso de celulares que possuíam softwares pagos que possibilitam a comunicação encriptada entre seus usuários.

Ocorreu, porém, que não somente os indivíduos que realizaram o transporte da substância entorpecente foram alvo da operação, mas também os representantes comerciais desses softwares no Brasil. Segundo a Polícia Federal, os fornecedores desse sistema, mesmo sem conhecerem a atividade ilícita dos compradores, deveriam ser considerados membros da organização criminosa porque teriam prestado auxílio a ela.

Tal afirmação decorre de uma presunção bastante frequente nas discussões que envolvem criptografia e as tentativas do Estado em realizar seu controle: o entendimento de que nada de bom se espera daqueles que buscam softwares dessa natureza, isto é, somente criminosos fazem uso de sistemas de criptografia.

Afirmação como essa é expressa pela Polícia Federal. Segundo constou no relatório final da investigação (do qual se extraem exclusivamente os trechos que tratam da criptografia, visto que os autos tramitam sob sigilo), os “aparelhos telefônicos e softwares de comunicação criptografada” seriam “utilizados como o único propósito de embaraçar e dificultar investigações sobre as atividades da organização criminosa”. Quanto à responsabilidade dos fornecedores, é dito que teriam praticado o crime porque assumiram o risco de contribuir para a prática dos crimes da organização. Diz-se ser “evidente a intenção criminosa dos usuários desses softwares de criptografia.” (Autos nº 5002795-71.2017.4.04.7008, que tramitam sob sigilo. Por esse motivo, nenhuma informação acerca dos fatos ou envolvidos será transcrita no decorrer deste artigo).

Ou seja, a Polícia Federal entende que um indivíduo, no momento em que realiza a venda de software de criptografia, assume o risco de colaborar com grupos criminosos de tal modo que deve ser responsabilizado como se membro da organização fosse. Isso pois, seguindo essa linha de raciocínio, é previsível que esses equipamentos virão a ser utilizados por criminosos. No Direito Penal, considera-se que essa responsabilidade ocorre a título de dolo eventual.

Guerra entre Estados e a Criptografia

Esse argumento, àquele que não está habituado ao debate em torno da criptografia, pode soar plausível. Afinal, sistemas de criptografia dificultam a capacidade de o Estado investigar atividades criminosas. Porém, essa conclusão perde sustentação ao presumir equivocadamente ser esse o único propósito da criptografia. Talvez seja aqui onde resida o erro: o defeito daqueles que atuam na área criminal – categoria na qual me incluo enquanto advogado criminalista – em enxergar o crime em tudo que observa. É o que Daniel Kahneman chama de “viés de ancoragem” em 'Rápido e devagar: duas formas de pensar', isto é, quando o tema é visto pelo indivíduo através das lentes daquilo que já se conhece, gerando conclusões antecipadas e equivocadas.

Portanto, para melhor avaliar o problema é necessário se afastar para conseguir obter uma visão mais acertada. Afinal, a criptografia pode dificultar a descoberta de criminosos, mas é somente para isso que ela serve? Evidente que não.

O debate acerca da criptografia é pouco difundido no Brasil. Talvez por isso que ainda possa haver confusões dessa natureza por parte de algumas autoridades. Porém, ao menos por aqui, é certo que se trata de uma ferramenta cuja venda não possui regulação ou qualquer proibição do Estado. Em terras tupiniquins, nunca se chegou a cogitar essa possibilidade. 

Situação oposta ocorreu nos Estados Unidos, berço tecnológico do mundo na década de 1990. Foi nesse país que a criptografia sofreu tentativas incisivas de controle, mas cujo desfecho foi a desistência do Estado ao limitar o fornecimento de softwares dessa natureza pelas empresas. 

Início do combate: as Guerras Mundiais 

A busca pelo controle da criptografia naquele país decorreu especialmente das raízes históricas. Antes de sua disseminação, ela sempre foi tida como uma arma de guerra, sobretudo diante de sua utilização em duas guerras mundiais.

Na Primeira Guerra, cuja comunicação por rádio era frequente e de fácil interceptação, a criptografia foi necessária para permitir que as mensagens não fossem interceptadas pelos inimigos. Na Segunda Guerra, essa ciência se desenvolveu, tendo elevado os métodos simples à criação de máquinas inteiras cujo objetivo era garantir que as comunicações seriam indecifráveis. Um exemplo foram as clássicas máquinas alemãs de criptografia do modelo Enigma, tidas à época como impossíveis de serem decifradas. Por esse motivo que a criptografia, até 1992, era categorizada como munição pelos Estados Unidos, sendo que até 2000 havia restrições para sua exportação.

Porém, no ano de 1976 surgiram as primeiras aplicações de uso civil da criptografia. Foi quando Diffie e Hellman inauguraram a criptografia de chave assimétrica, a qual tornou possível que os sistemas de comunicação privada fossem inseridos no ambiente digital. Mal sabiam eles que sem essa descoberta seria impossível a existência do e-commerce e, até mesmo, do Bitcoin. 

Esse modelo de aplicação inédito veio acompanhado de tentativas de controle pelo Estado. O discurso era de que o uso civil da criptografia permitiria um ambiente em que criminosos, sobretudo os terroristas, pedófilos, traficantes de drogas e organizações criminosas, poderiam se comunicar livremente para praticar seus ilícitos longe das esferas de vigilância das autoridades de segurança pública.

Esse foi um período de confronto ideológico. Do outro lado, havia aqueles que afirmavam que a criptografia era um instrumento de proteção à vigilância em massa realizada pelo Estado, ideologia da qual desponta um grupo de ciberativistas nominados Cypherpunks. Eles tinham premissas bem delineadas: a) que a criptografia seria uma tecnologia indispensável para preservação da proteção das comunicações entre pessoas em relação às tentativas de vigilância do Estado; b) que somente mediante o uso da criptografia desenvolvida pelos próprios indivíduos, não pelo Estado, seria possível garantir a segurança e privacidade necessária para as comunicações; c) que a criptografia não deveria ser regulada pelo Estado.

Controle do Estado: Key Escrow e o Clipper chip. 

Essa foi uma batalha que perdurou toda a década de 1990, sobretudo decorrente de duas tentativas de controle realizadas pelo Estado: O Key Escrow e o Clipper chip. 

A primeira se tratou de uma iniciativa de criação de dois bancos de dados para armazenar todas as chaves criptográficas dos produtos lançados para o mercado nacional. Isso garantiria que os cidadãos americanos utilizassem a criptografia adequadamente, mas também que, se houvesse uma decisão judicial que autorizasse a quebra do sigilo de uma comunicação, essas informações poderiam ser acessíveis. Dois bancos foram sugeridos – não somente um – para descentralizar o poder de acesso. 

A segunda consistiu em um pequeno chip que viria instalado em todos os produtos de comunicação. As comunicações entre as pessoas continuariam a ser criptografadas. Porém, esse dispositivo criaria uma chave de acesso para descriptografar essas comunicações, as quais seriam acessíveis pelo Estado. Uma vez que a quebra de sigilo de alguma comunicação fosse autorizada, o Estado teria condições de realizar a coleta de dados ou a escuta da comunicação.

Ambas as tentativas fracassaram. Quanto ao Clipper Chip, um criptógrafo da AT&T, Matt Blaze, descobriu falhas que permitiam burlar o sistema de segurança. Quanto ao Key Escrow, um grupo de acadêmicos da criptografia (entre eles, novamente, Matt Blaze) publicou, em 1997, um extenso artigo relacionando todos os riscos e falhas do sistema. Outra forte resistência foi oferecida por Phil Zimmermann, que disponibilizou para amplo acesso na internet um sistema de comunicação criptografado considerado inquebrável até 2018: o Pretty Good Privacy (PGP).

A primeira crypto war”

Mas o ponto final veio mesmo em 1999, quando a Justiça Americana reconheceu que a limitação na publicação e a exportação de criptografia constituíam uma ofensa à liberdade de expressão. O caso envolveu um pesquisador que desenvolveu um software de criptografia, mas que havia sido impedido de publicar seu trabalho pelo Departamento de Justiça Americano. Diante disso, o autor submeteu o fato à Justiça Americana, a qual concluiu que exigir autorização do Estado para publicar uma pesquisa envolvendo criptografia constitui uma ofensa à liberdade de expressão, constitucionalmente assegurada aos cidadãos americanos por meio da primeira emenda. 

Esse momento da história foi identificado como a “primeira crypto war”. Isso é, a primeira vez em que o Estado tentou restringir o uso da criptografia pelos civis, mas que foi vencido. Nas palavras de Steven Levy, essa teria sido a vitória dos cypherpunks sobre o “tio sam”. 

Porém, essa vitória nunca foi verdadeira. Nunca houve desistência pelos EUA de regular as comunicações no ambiente digital. Em verdade, iniciou-se uma nova estratégia. O controle da criptografia não seria mais realizado de maneira direta (e visível) aos usuários, mas de maneira indireta e oculta. 

Essa mudança foi identificada por Michael Froomking como “ondas regulatórias do ambiente digital”. Segundo ele, houve dois métodos utilizados pelo Estado para tentar controlar o uso da criptografia: o primeiro, representado pela mencionada crypto war, da qual chamou de “primeira onda regulatória”. O segundo, chamado de “segunda onda regulatória”, teve início nos anos 2000 e perdura até hoje.      

Ocorreu que os EUA desistiram de controlar o uso direto de criptografia pelos usuários, mas não de controlar o uso de comunicações privadas no ambiente digital. Partiu-se para uma estratégia bastante comum na política de lavagem de dinheiro, mas inédita à época aos meios de comunicação: o controle dos “pontos de afunilamento da rede”. 

Backdoors, empresas privadas e novas estratégias

Assim como o sistema financeiro exige das instituições que coletem e armazenem informações daqueles que realizam transações, o mesmo ocorreu no ambiente das comunicações digitais. Foram editadas leis que exigiam dos provedores de serviço desse ambiente a coleta e armazenamento de dados de seus usuários. Enquanto o controle dos usuários era difícil de ser realizado, o mesmo não ocorria com as empresas de comunicação. Elas eram fáceis de serem localizadas e persuadidas.

Essa estratégia iniciada em meados do ano 2000 somente foi conhecida mais amplamente em 2013. Ela resultou em um dos maiores escândalos de monitoração em massa da história, popularmente conhecido como “as delações de Edward Snowden”, introduzido mundialmente no filme “Snowden: herói ou traidor”, no documentário “Citzenfour”, e no livro “Eterna Vigilância”.

Em resumo, foi descoberto que a agência de segurança norte americana National Security Agency (NSA), em conluio com dezenas de empresas privadas de comunicação, realizou o monitoramento de praticamente todos os indivíduos do mundo. No Brasil, por exemplo, descobriu-se que (i) a ex-presidente Dilma Rousseff estava sendo monitorada clandestinamente, além de (ii) conversas de executivos da Petrobras terem sido grampeadas. Ainda, (iii) houve a coleta de aproximadamente 200 milhões de mensagens de texto em todo o mundo, utilizando-as para identificar a localização de pessoas, rede de contatos e dados de cartão de crédito, bem como (iv) cooperação de grandes empresas de comunicação, as quais permitiam coletar – sem o conhecimento do usuário – e-mails, vídeos, fotos, vozes, videochamadas e todos os tipos de dados disponíveis nessas redes; dentre outros atos do gênero.

Outra estratégia adotada pela NSA – diretamente relacionada à crypto war – consistiu em desenvolver secretamente um padrão de criptografia com falhas de acesso (backdoors). O algoritmo de criptografia se chamava Dual Elliptic Curve Deterministic Random Bit Generation (DUAL_EC_DRGB). Ele foi disponibilizado por uma agência americana não regulatória – responsável por promover o desenvolvimento de tecnologias em geral – chamada National Institute of Standards and Technology (NIST). Posteriormente, esse algoritmo também passou a ser disponibilizado pelo American National Standards Institute (ANSI) e, inclusive, pela International Organization for Standardization (ISO), que, à época, tinha 163 países membros.

A dinâmica fora a seguinte: a grande maioria das pessoas que desejavam criptografar algum conteúdo buscava algum software com tal função – desenvolvido pelas empresas privadas. As empresas privadas que desejassem fornecer sistemas com criptografia poderiam revisitar toda a literatura sobre o tema para desenvolver sua própria criptografia ou buscar nesses institutos os padrões de criptografia sugeridos por eles, disponibilizados gratuitamente. Evidentemente, a segunda opção foi a mais adotada pelas empresas do mundo. 

Essa estratégia não impedia, entretanto, que companhias especializadas no ramo desenvolvessem algoritmos de criptografia sem essas falhas de acesso. Isso, inclusive, ocorreu, mas foi secretamente remediado pela NSA. Outra das revelações de Snowden exibiu o caso da empresa RSA Security, considerada cypherpunk por ter atuado contra a política do Clipper chip, que recebera 10 milhões de dólares para também incluir o DUAL_EC_DRGB em seus produtos.

Não somente isso: esse esquema de monitoração resultou em outro atentado contra a privacidade, desta vez realizado pelas empresas privadas. Para que a NSA pudesse coletar informações era indispensável o auxílio destas empresas.

Chilling Effect

O que ocorreu, em verdade, foi que elas identificaram na captação de dados um importante mecanismo para conhecer melhor seus consumidores e, com isso, aumentar seus lucros. É o que Zuboff fala sobre a capacidade que as empresas têm de manipular seus usuários com os dados que coletam clandestinamente.

Em suma, após 2013 um grande número de pessoas tomou consciência de que todos os dados (conversas, imagens de câmera de celular, etc.) são passíveis de serem capturados clandestinamente. Pior: que a livre disponibilização desses dados permite (i) esquemas de monitoração em massa por Governos e (ii) a adoção de práticas manipulatórias por empresas privadas. 

A consciência acerca desse método de vigilância em massa causou um sentimento coletivo de vulnerabilidade e exposição. É o que David Chaum, ainda em 1985 e prevendo todos esses eventos, chamou de chilling effect. Segundo ele, em passagem que vale ser repetido na íntegra:

“A informatização está impedindo os indivíduos em controlar a forma como as informações sobre eles são utilizados. Tanto empresas privadas quanto os setores públicos trocam rotineiramente essas informações entre si, de modo que as pessoas não possuem como saber se o as informações são imprecisas, obsoletas ou inadequadas. Está sendo fundada uma ‘sociedade do dossiê’, na qual os computadores podem ser utilizados para inferir no estilo de vida, nos hábitos, no local em que as pessoas frequentam, além de associar os indivíduos aos dados coletados em suas compras como consumidores. Há uma incerteza sobre se os dados permanecerão seguros contra abusos por aqueles que os coletam, ou se poderá gerar um ‘chilling effect’, fazendo com que as pessoas alterem seus comportamentos na medida em que sabem que podem estar sendo observados. Devido à informatização, tais problemas se tornam mais profundos e com potencial para crescer dramaticamente.”

Esses são os verdadeiros fundamentos daqueles que buscam por privacidade no ambiente digital. Nas palavras de Bauman, a vigilância em massa é, por si, uma arbitrariedade. Constitui grave ofensa aos direitos humanos, sobretudo à privacidade, liberdade e autonomia das pessoas. Ademais, o conhecimento acerca da vigilância em massa não permite que as pessoas se expressem livremente, criando obstáculos para o pleno exercício desses direitos.

Privacidade como valor e a LGPD 

Ainda que se possa afirmar que há uma tendência mundial no reconhecimento da importância dos dados pessoais, tais legislações vêm tarde e sem a potencialidade de corrigir os erros do passado. A europeia General Data Protection Regulation (GDPR), a qual inspirou nossa Lei Geral de Proteção de Dados (LGPD), é focada em dados, não comunicações. Nada é dito nessas leis quanto à proteção de comunicação anônima.

É verdade, como afirma Zuboff, que conhecemos pouco do que está realmente acontecendo dentro das grandes empresas de tecnologia. A mesma visão pessimista é compartilhada por Gary Marx. Segundo ele, estamos à espera de um evento ao estilo “Chernobyl dos dados”. 

O temor de acontecimentos como esses, ou outros mais graves que estão por vir, é o que torna legítima a busca por privacidade no ambiente digital. Os meios que tornam possível a defesa contra essas ofensas são a criptografia e o anonimato. A encriptação permite que o conteúdo não seja lido, não obstante a possibilidade de saber o autor da mensagem. Por sua vez, o anonimato impede que o autor seja descoberto. No ambiente digital, um complementa o outro.

A criptografia pode ser considerada crime no Brasil?

Dito isso, retornemos ao questionamento inicial: a criptografia pode ser considerada crime no Brasil? A resposta é negativa. 

Para que a conduta seja tida como criminosa é necessário: a) a criação pelo indivíduo de um risco e b) que este risco seja juridicamente desaprovado. No caso, ainda que se pudesse argumentar que a produção ou venda de software de criptografia possa ser considerada arriscada, visto que permitiria a comunicação oculta entre criminosos, não existe uma norma regulatória ou proibitiva acerca dessa matéria. Isso é, trata-se de hipótese de risco permitido, sendo que o eventual resultado advindo dessa conduta não pode ser imputado a quem o praticou.

Nesse sentido, já decidiu o Superior Tribunal de Justiça ( STJ. 5ª T. Ag em REsp nº 0011479-37.2007.8.11.0042/MT. Rel. Min. Napoleão Nunes Maia Filho. Julg. em 7/4/11) que ocorre “(...) a exclusão da tipicidade da conduta quando o agente se comporta dentro de seu papel social, não lhe sendo atribuído resultado por uma ação, quando decorrer da prática de um risco permitido (...)”.

Ademais, não é possível afirmar que todo vendedor de softwares de criptografia presume que sua utilização será realizada por criminosos. Em contexto de vigilância em massa, fornecer software de criptografia não pode ser considerado um meio de contribuir com atividades criminosas. Trata-se de uma importante ferramenta que permite a proteção de direitos fundamentais, sobretudo a privacidade, autonomia e a liberdade de expressão.