O cibercrime

O termo “cibercrime” foi cunhado no final da década de 90, à medida que a Internet se
disseminava pelos países da América do Norte. Um subgrupo das nações do G8 se
formou após um encontro em Lyon, na França, para o estudo dos problemas da
criminalidade então surgidos e promovidos via Internet ou pela migração de
informações para esse meio. Este “grupo de Lyon” usava o termo para descrever, de
forma muito ampla, todos os tipos de crime perpetrados na Internet ou nas novas redes
de telecomunicações, que estavam cada vez mais acessíveis em termos de custo.

Ao mesmo tempo e por intervenção do grupo de Lyon, o Conselho Europeu iniciou um

esboço da Convenção sobre o Cibercrime [1]. Tal convenção, que veio a público pela
primeira vez em 2000, incorporou um novo conjunto de técnicas de vigilância
consideradas pelas instituições encarregadas do cumprimento da lei como necessárias
para se lutar contra o “cibercrime”. Como o cibercrime foi definido? A versão final
dessa convenção, passada em novembro de 2001, portanto, após o evento de 11 de
setembro, não apresenta uma definição para o termo. É usado como um termo muito
geral para se referir aos problemas gerados com a potência cada vez maior dos
computadores, o baixo custo das telecomunicações e o fenômeno da Internet, para a
polícia e os órgãos de inteligência. Tal convenção descreve as diversas recomendações e
áreas sujeitas à nova lei, conforme segue:

Artigo 1 - Crimes contra a confidencialidade, integridade e disponibilidade de dados

de computador e sistemas.

Artigo 2 - Crimes relacionados a computadores [falsificação e fraude].

Artigo 3 - Crimes relacionados ao conteúdo [pornografia].

Artigo 4 - Crimes relacionados à infração de da propriedade intelectual e direitos

conexos.

Artigo 5 - Responsabilidade subsidiária e sanções [esforço e auxílio ou

responsabilização corporativa].

Cibercrime: a caixa de Pandora

As recomendações a respeito dos crimes são na verdade muito breves, pois a maior
parte da convenção está associada a leis de procedimentos e de cooperação
internacional. A ação penal bem-sucedida exigia novas técnicas para reunir provas,
garantindo a integridade e o compartilhamento além-fronteiras. As solicitações
expedidas de preservação de dados, as garantias eletrônicas, a captura de dados em
tempo real e a retenção de dados de tráfego - todos significavam interferência nas
liberdades civis. A confiança cada vez maior nos tratados de assistência jurídica mútua,
mesmo nos casos em que não houvesse dupla incriminação, abriu a caixa de Pandora de
potenciais acusações criminais que ficariam fora dos regimes em todo o mundo. Ao
mesmo tempo em que a Convenção sobre o Cibercrime anunciava agora claramente os
problemas inerentes à investigação criminal global, ela não tinha tocado ainda na
questão dos métodos de manutenção da privacidade e dos direitos humanos.

No início, houve uma grande confusão. O cibercrime se aplicava a novos tipos de

criminalidade, tais como a pornografia na Internet ou a distribuição de fotos com
imagens pornográficas que violam a legislação de determinados países (porém não de
todos), no que diz respeito ao material que explora a pornografia ou que a apresenta de
forma inaceitável. Como a Internet não tem fronteiras, foi ficando cada vez mais fácil
para os indivíduos distribuírem materiais para além da fronteira de seus países, às vezes
sem mesmo deixar rastros de origem. Quebrar sistemas de computador ou exercer
atividades de hacker também era considerado um novo crime, o que muitos países ainda
não tinham assumido como um delito criminoso. Um dos objetivos desse Tratado sobre
o Cibercrime foi estabelecer regras e um acordo para o seu cumprimento, regras estas
deveriam ser seguidas pelos aderentes, a fim de se lutar contra a nova atividade
criminosa de forma bem coordenada. As apostas online foram uma outra questão e o
turfe virtual foi se popularizando na Internet. Embora os países apresentassem grandes
variações de apreciação sobre jogos com apostas, houve um número suficiente de países
desenvolvidos a contar com suas receitas em seus orçamentos governamentais ou em
suas economias derivadas do turismo, para que o surgimento de concorrentes virtuais
operando de paraísos fiscais se tornasse uma preocupação real.

Retenção de dados e criptografia: duas questões centrais de segurança em jogo

Antes de o tratado sobre o cibercrime surgir para a opinião pública, libertários civis em
todo o mundo viviam ocupados em lutas internas contra a introdução da retenção
obrigatória de dados ou a armazenagem de registros de telecomunicações e de tráfego
na Internet, para fins de investigação criminal. A retenção de dados era vista como parte
do pacote de controle, que o FBI tinha iniciado anos antes, nos idos de 1992, alegando
ser algo necessário para se lutar contra o crime na nova “via” de informação
(“information highway”, em referência às modernas rodovias americanas), como era
chamada a Internet em seus primórdios. Ao longo dos anos 90, ativistas da Internet,
especialistas da área técnica e empresas privadas lutaram contra a imposição de
controles sobre a criptografia, incluindo esquemas com caução de chave, nos quais o
governo teria uma cópia de todas as chaves criptográficas para poder mais facilmente
investigar atividades criminais e procurar provas. O mais famosos desses esquemas foi
o Clipper chip, de origem americana, um esquema que não propunha apenas que o
governo mantivesse as chaves para a criptografia, mas também um algoritmo fechado
ou proprietário, que nenhum especialista estava autorizado a ter acesso e testar. A
segurança é uma batalha sem fim, com algoritmos e controles de segurança necessários
para sua implementação bem-sucedida sendo atacados tão logo apresentados. Assim, a
única medida de segurança em que os especialistas confiam são os sistemas expostos ao
ataque e que sobreviveram ao teste. Originalmente, a criptografia era o domínio de
especialistas de segurança nacional e de militares, mas se torna cada vez mais campo de
estudo de civis e está vindo ao uso público.

Em 1991, o ativista pela paz e especialista em criptografia Phil Zimmerman lançou na

Usenet um programa de criptografia chamado Pretty Good Privacy, o PGP,
disponibilizando-o potencialmente para os países aos quais os EUA se recusassem a
exportar uma forte criptografia. O governo americano iniciou uma investigação no
Grande Júri que durou três anos, até que, sem provas criminais, ela foi arquivada em
janeiro de 1996. Phil se tornou um herói na comunidade da Internet, uma vez que
ajudou dissidentes políticos de países, como a Letônia, a criptografar sua comunicação e
impedir a vigilância do Estado. Porém, durante três anos, viu-se confrontado à
possibilidade de ser preso por exportar a criptografia.

Essa reserva com relação à exportação da tecnologia criptográfica persistiu por vários
anos, porque era uma situação clássica em que não haveria vencedores. Certamente era
verdade que, se um crime de colarinho branco pudesse ser completamente ocultado por
um indivíduo com uma criptografia forte e inquebrável, também era verdade que uma
empresa precisava se proteger da espionagem industrial e da interferência criminosa em
seus próprios registros, utilizando-se da mesma criptografia. Por fim, o Clipper chip
deixou de ser usado e os EUA e os outros países do G8 abrandaram seu controle sobre a
criptografia, ao mesmo tempo em que surgiu o Tratado sobre o Cibercrime. No entanto,
nessa época o clima entre os ativistas da Internet e os especialistas ficou um pouco
pesado com sentimentos de desconfiança, por causa das ações governamentais para
tentar acabar com a privacidade e a criptografia na Internet. A fundamental luta pelo
poder tinha se estabelecido, entre o Estado, que queria poder ler tudo que vinha por
meio das redes de telecomunicações, especialmente a Internet, e os indivíduos
(representados pelos grupos em defesa da liberdade civil), que não achavam que o
governo procurava na verdade protegê-los, mas que em vez disso tomar o poder no
início da nova era de informação e instalar sistemas de vigilância que iriam proliferar e
ameaçar nossas liberdades.

O cibercrime não é virtual

Então, o que é o cibercrime? Em primeiro lugar, o que é o ciberespaço? O termo foi

cunhado pelo escritor de ficção científica William Gibson em 1982, tendo sido aplicado
à Internet por Howard Rheingold, quando então decolou como um rótulo para essa nova
infra-estrutura de comunicação. Mas, às vezes, esquecemos que ele realmente não
existe. O que existe é uma rede com muitos servidores e equipamentos. As
comunicações na Internet começaram a parecer efêmeras e a evaporar e, na mente das
pessoas, é assim que opera a gestalt. Talvez seja por causa da fragilidade do próprio
relacionamento do indivíduo comum com seus computadores e programas de
mensagens eletrônicas. Quem nunca perdeu um documento por esquecer de salvá-lo ou
perdeu agendas ou mensagens eletrônicas? Na verdade, um bom investigador armado de
boas ferramentas pode encontrar e exumar quase tudo, porque, diferente do mundo
analógico, o mundo digital deixa as informações de transação após cada bit e byte que é
enviado. Como essas ferramentas e técnicas não estão disponíveis para o consumidor
comum, então o conceito de ciberespaço, um tipo de hiperespaço mágico no qual os
dados vêm e vão parece adequado.

Quando foram iniciados os primeiros esforços para se fazer o anteprojeto do Tratado

sobre o Cibercrime, a maior parte das instituições encarregadas do cumprimento da lei
também mostravam um certo atraso tecnológico. Não se sabia como investigar, como
levantar provas nos computadores sem contaminá-los, como preservar os dados no caso
de o proprietário ter enviado um programa para destruí-los, como rastrear a origem de
uma mensagem, particularmente quando criptografada com o uso de anonymizers. Esses
são problemas complexos e parte dos primeiros trabalhos dessas instituições foi um
esforço para “parar a máquina” e dar atenção às suas próprias necessidades de recursos
para atacar o novo problema. Dado que, em geral, é mais fácil obter novos recursos para
atacar um novo problema do que melhorar os recursos antigos, não é de se surpreender
que novos termos tenham sido criados. No entanto, não é claro que “cibercrime” seja
um termo útil; ele poder a uma total confusão. O crime ocorre no mundo real, em geral
envolvendo pessoas reais e também dinheiro real. É importante concentrar-se nesse
aspecto do problema, em vez de nos aspectos efêmeros como o envio de comunicações.

Há três aspectos ligados ao “cibercrime”

Há o novo crime relacionado à quebra, invasão ou espionagem nos sistemas de

computador de outras pessoas ou organizações. As opiniões diferem quanto a se olhar
apenas é um crime, em especial desde os primeiros hackers [2], que logo detectavam
falhas de segurança e sentiam-se cidadãos honestos, reportando-as. É claro que entrar
em um sistema com intenção criminosa é uma outra questão.

Depois, há situações em que o crime é velho mas o sistema é novo, tal como nos golpes
via Internet. O golpe de marketing está presente há milênios, assim como os golpes por
telefone também aí estão há décadas, e agora temos a versão para a Internet. O mesmo é
verdade para a pornografia e os direitos autorais.

O terceiro elemento é a investigação, em que o computador serve como um repositório

de provas, estas necessárias para a acusação de qualquer crime que esteja em processo.
O que costumava ser registrado em papel hoje não se registra mais senão em meio
digital e pode ser destruído ou criptografado de forma remota.

Um bom cão farejador parece habitar em um universo paralelo, pode morar conosco e
andar na mesma rua, mas vivencia algo totalmente diferente dos humanos, um mundo
rico de informações químicas. A humanidade agora construiu um mundo em que os
chips de silício geram novas informações, enviam-nas pelo mundo em fluxos
eletrônico-digitais e somos incapazes de detectá-las sem a ajuda dos computadores. Por
isso, esse mundo digital paralelo existe e os bits digitais compõem um novo tipo de
prova. Os bits digitais também apresentam um novo tipo de risco para os indivíduos,
porque uma pessoa que sabe como falsificar provas digitais pode criar uma nova
personalidade digital. Esse é o quarto tipo de crime, mais sutil do que os outros e mais
conhecido quando se apresenta como roubo de identidade. Se essa tendência persistir,
“cibercrime” pode bem tornar-se um termo útil para descrever os crimes contra a
personalidade digital.

A personalidade digital

O que é a personalidade digital? Esse é um termo útil? A expressão foi usada na última
década pelo menos, para descrever a impressão deixada por uma pessoa na Internet. Dr.
Roger Clarke a descreveu bem no resumo de um dos primeiros artigos a respeito [3]

A personalidade digital é um modelo do indivíduo, o qual é estabelecido por meio da

coleta, armazenagem e análise de seus dados. É um conceito muito útil e também
necessário para chegar a compreender o comportamento do novo mundo interligado em
rede. Este artigo apresenta a noção geral, rastreia suas origens e dá exemplo de sua
aplicação. Sugere que a compreensão de muitos aspectos do comportamento em rede
será facilitada ou aprimorada com o uso desse conceito.
A personalidade digital é também um fenômeno potencialmente ameaçador, degradante
e talvez até mesmo socialmente perigoso. Uma área na qual seu lado mais ameaçador
deve ser levado em consideração é a da vigilância de dados, isto é, o monitoramento de
pessoas por meio de seus dados. A vigilância de dados é um meio economicamente
eficiente de exercer o controle sobre o comportamento de indivíduos e sociedades.
Discute-se a maneira pela qual a personalidade digital contribui para o entendimento de
determinadas técnicas de vigilância de dados, tais como perfil e identificação de
computadores, delineiam-se assim os riscos inerentes à monitoração das personalidades
digitais.

Onze anos depois, chegamos perigosamente perto do ponto a que ele se referiu. Clarke
identifica a personalidade digital como uma construção útil para o entendimento da
sombra que deixamos no mundo digital do ciberespaço e faz a distinção entre
personalidades passivas, ativas e autônomas. Ele a define como: a personalidade digital
é um modelo da personalidade pública de, baseado nos dados informatizados, e mantido
por transações, se destinando a servir de substituto para o indivíduo.

Úteis como uma construção para identificar indivíduos com o propósito de se referir a
eles (como exemplo, os endereços eletrônicos), ou para identificá-los como pessoas
autorizadas a desempenhas funções (pagar contas online, organizar viagens), os bits
desenvolveram logo uma série de hábitos e personalidades tão reais quanto os seres
humanos que estão por trás deles. Os governos e as empresas agora contam com essas
personalidades como uma “forma de conhecer seu consumidor” e provas ou
personalidades eletrônicas logo se tornaram ainda mais verdadeiras do que os
indivíduos que as animam. No entanto, as falhas de segurança agora demonstram como
essa confiança pode ser mal empregada. O “phishing” [4] e os ataques de “pharming”,
ou o envenenamento de mensagens eletrônicas e sítios Web levam pessoas a dar
informações pessoais via Internet, que então serão utilizadas pelos fraudadores para
persuadir uma empresa, o governo ou o banco de que eles são a pessoa em questão.
Ainda mais sofisticados no ambiente atual, os ladrões estão também colocando
amálgamas de dados para criar perfis pessoais fictícios, ainda que prováveis.

Fora do ciberespaço, pode haver qualquer uma dessas criações em funcionamento, em

geral com fins criminosos, mas nem sempre. Colocando-se como crianças em salas de
bate-papo virtual, policiais conseguem pegar aliciadores de menores. Compradores
misteriosos estão testando os serviços de atendimento ao consumidor. Adultos em todo
o mundo estão criando personalidades em sites da Internet de busca de parceiros, para
ocultar sua verdadeira identidade até alcançarem o nível de confiança desejado com os
estranhos com quem conversam.

À medida que nos encaminhamos para um mundo no qual a vigilância digital dos seres
humanos está crescendo exponencialmente, questionar o rumo sendo tomado. Em breve,
chips RFID nas roupas que usamos e nos nossos cartões de identidade farão a
comunicação com o ambiente em que habitamos, assim como transmissores embutidos
rastrearão nossos movimentos. Se alguém conseguir interferir nessas pistas com
sucesso, um ser humano real lutará na justiça com uma personalidade digital,
cuidadosamente construída fora do controle do indivíduo interessado. Tentativas de
ligar essas pistas ao indivíduo por meio do uso de biométricas podem resolver o
problema ou podem na verdade piorá-lo. Especialistas em liberdade civil se preocupam
com o abuso das leitoras biométricas no nosso dia-a-dia, argumentando que elas não são
confiáveis e produzem muitos resultados falsos, tanto positivos quanto negativos. Um
recente experimento para “enganar” as leitoras de impressões digitais, retirando as
digitais de uma pessoa e aplicando-as em dedos falsos modelados em gel, confirmou
essa suspeita, mas contribuiu pouco para frear a disseminação dos sistemas [5].

Roger Clarke, em seu artigo sobre a personalidade digital, apontou a construção

junguiana do ser, com a anima voltada para dentro com face para o inconsciente e a
persona, com face para o mundo. À medida que a personalidade digital cresce em
importância social e econômica, ela atrai a atenção de criminosos. Frente à luta digital
corpo-a-corpo pelo controle da própria personalidade individual, para não deixá-la nas
mãos do mercado ou dos criminosos, o que está acontecendo com a anima? Na verdade,
o indivíduo é forçado a se desassociar de sua personalidade, apenas para lidar com as
expectativas de uma vigilância e de uma ameaça constantes, que estamos agora
sofrendo e que não trazem bons presságios para nossa saúde coletiva.

Este texto é extraído do livro Desafios de Palavras: Enfoques Multiculturais sobre as

Sociedades da Informação. Coordenado por Alain Ambrosi, Valérie Peugeot e Daniel Pimienta,
este livro foi publicado em 5 de novembro de 2005 por C & F Éditions.