A ferramenta certa para o trabalho: como o direito internacional se aplica a operações cibernéticas?

Quando você terminar de ler este artigo — dependendo de sua velocidade de leitura e da estatística em que você prefere acreditar —, entre dez e 360 novas operações cibernéticas hostis terão sido empreendidas no mundo. Das centenas de incidentes desse tipo que ocorrem todos os dias, é inevitável que alguns causem prejuízos econômicos transfronteiriços, provoquem tensões políticas ou tenham um impacto sobre a segurança nacional de Estados. Em suma, esperaríamos que o direito internacional tenha algo a dizer sobre os efeitos que esses incidentes ocasionam.

Desde 2012, a comunidade internacional decidiu que o direito internacional se aplica ao uso que os Estados fazem das tecnologias da informação e comunicação (TICs). No entanto, esse acordo — já chamado de "consenso histórico" — abriu a porta para muitas outras questões. Poderíamos dizer que a atual fase de desenvolvimento do direito internacional cibernético é o "como": já sabemos que o direito internacional se aplica ao ciberespaço, mas ainda estamos tentando descobrir como.

Analise este exemplo: está muito bem estabelecido que o Direito Internacional Humanitário (DIH) proíbe o uso indevido de emblemas distintivos, como a cruz vermelha e o crescente vermelho. Assim, se um soldado estiver em um veículo sinalizado com uma cruz vermelha durante um conflito armado e atirar em um inimigo, ele violará este corpo legislativo e poderá ser responsabilizado por um crime de guerra. Mas como essa proibição se aplica no ciberespaço? E se uma das partes de um conflito armado obtiver acesso não autorizado a um aplicativo do CICV e utilizá-lo fazendo-se passar pelo CICV para conseguir alguma vantagem militar? Isso também seria proibido de acordo com o DIH?

Em busca de respostas práticas

Em outubro de 2019, o CICV se juntou ao projeto Cyber Law Toolkit, cujo objetivo é oferecer respostas a perguntas avançadas no campo do direito internacional cibernético. Todas se encaixam na categoria "como": Como as proteções a alvos civis durante um conflito armado se aplicam às operações cibernéticas contra dados civis? Como o direito internacional protege organizações internacionais contra ataques de ransomware? Como a obrigação de analisar a legalidade de novas armas e de novos meios e métodos bélicos se aplica a malware criado para causar danos físicos?

Para analisar esses problemas em termos menos abstratos, o Toolkit apresenta diversos cenários hipotéticos, selecionados a partir de consultas com especialistas em questões técnicas, políticas e jurídicas. Eles identificaram incidentes do mundo real — alguns de conhecimento público, outros não — que geraram dúvidas sobre a aplicação do direito internacional. Com esta abordagem, o Toolkit oferece análises específicas sem se prender às particularidades dos incidentes que realmente aconteceram.

A primeira atualização anual do Toolkit foi realizada nesta semana. Cinco cenários completamente novos foram adicionados ao Toolkit, que agora conta com um total de 19. O site do Cyber Law Toolkit também contém tabelas que sintetizam 31 dos principais incidentes cibernéticos de conhecimento público, como WannaCry e NotPetya, que instigaram parte desta análise. O Toolkit é fácil de usar e pode ser organizado por dezenas de palavras-chave, como atribuição, objetivos militares e análise de armas. Todos os principais conceitos jurídicos, como due diligence e legítima defesa, também estão definidos sucintamente para explicar em termos gerais sua relevância para o ciberespaço.

Destaques desta temporada

Os trechos recentemente incorporados ao Cyber Law Toolkit abordam um amplo leque de áreas do direito internacional, como a responsabilidade de Estado, o direito marítimo, o direito penal internacional e o DIH. Todos os cenários foram escritos em um estilo acessível e pensado para um público amplo, como advogados que assessoram sobre direito internacional e operações cibernéticas dentro ou fora de contextos militares, além de acadêmicos e estudantes do direito internacional. Nos casos em que diversas soluções jurídicas são plausíveis, o Toolkit traça os principais contornos de cada uma, mesmo que termine defendendo uma delas.

Um dos novos cenários explora os limites impostos pelo direito internacional às respostas coordenadas a operações cibernéticas hostis. Nele, uma campanha de ransomware patrocinada pelo Estado interfere seriamente no funcionamento de diversas instituições públicas em outro Estado. O cenário sugere que os aliados do Estado vítima poderiam unir-se e emitir declarações de atribuições públicas ou impor proibições de viagem aos indivíduos identificados como culpados. No entanto, a análise deste cenário mostra que contramedidas coletivas — medidas que são tomadas por Estados não lesados para induzir o Estado responsável a interromper seu comportamento inadequado e que, de outro modo, seriam ilegais — estão além do permitido atualmente pelo direito internacional.

Outro cenário novo analisa o status legal de diversos operadores cibernéticos durante um conflito armado. Não é nenhum segredo que muitos Estados estão desenvolvendo capacidades cibernéticas militares para usar em conflitos armados. No entanto, há muitas diferenças entre os tipos de funcionários envolvidos nessas operações. No cenário do Toolkit, uma unidade cibernética militar, uma equipe governamental de resposta a situações de emergência informática e um grupo civil de hackers patriotas trabalham numa iniciativa de um Estado envolvido em um conflito armado. A análise mostra que, em sua maioria, essas pessoas seriam classificadas como civis pelo DIH, mas a conduta cibernética delas poderia implicar na perda de proteção contra ataques.

Outro cenário novo se concentra na fraude cibernética durante um conflito armado para analisar como regras do DIH, como a proibição de perfídia e a proibição do uso indevido de indicadores estabelecidos, se aplicam a diversas operações militares ardilosas no ciberespaço, como hackear um aplicativo eletrônico da Cruz Vermelha, como mencionado anteriormente. Este cenário sustenta que disseminar informações falsas fazendo-se passar pelo CICV iria de encontro ao objetivo e ao propósito das normas que protegem o emblema distintivo e, deste modo, violaria o DIH.

O caminho cibernético em frente

Embora o propósito desta atualização seja reduzir a atual incerteza em relação à aplicação do direito internacional no ciberespaço, muitas outras perguntas sobre como fazer isso continuam sem resposta. Por exemplo, em um comunicado dirigido ao Conselho de Segurança das Nações Unidas em agosto de 2020, o presidente do CICV, Peter Maurer, pediu mais clareza sobre como o direito internacional se aplica às operações cibernéticas contra infraestruturas civis essenciais (para uma análise recente, consulte este artigo de três advogados do CICV na Revista Internacional da Cruz Vermelha). Além disso, discussões multilaterais sobre como aplicar o direito internacional ao uso das TICs também estão em andamento em dois processos ordenados pelas Nações Unidas, o que ajuda a identificar pontos de convergência e de divergência entre os Estados.

Ao mesmo tempo, o Cyber Law Toolkit acaba de fazer um convite para a apresentação de propostas para a próxima atualização geral, programada para setembro de 2021. Os editores esperam que especialistas neste campo sugiram novos cenários e que usuários atuais e futuros do Toolkit façam comentários sobre os cenários existentes. Esperamos que, além de oferecer ferramentas práticas para assessores jurídicos, este projeto também contribua para o desenvolvimento de uma compreensão comum do direito internacional cibernético para, assim, tornar o ciberespaço um terreno mais estável e seguro.