A LEGITIMAÇÃO JURÍDICA DO HACK BACK E A FICÇÃO CYBERPUNK DE

WILLIAM GIBSON.

Lucas Rodrigues Marangão1

RESUMO: O presente trabalho empreendeu um estudo crítico de propostas de legitimação

jurídica do hack back no Brasil e nos Estados Unidos, respectivamente através do seu
enquadramento na excludente de ilicitude legítima defesa e da sua regulação via cartas de
corso virtuais. A crítica se deu através da comparação das propostas com o Black ICE da
distopia cyberpunk de William Gibson. O Black ICE é uma modalidade letal de hack back na
ficção de Gibson, podendo levar o hacker à morte. A crítica se deu apontando aproximações
entre as propostas e o Black ICE, demonstrando possíveis problemas éticos implícitos nas
mesmas.
PALAVRAS-CHAVE: Cibersegurança; Cyberpunk; Hack Back; Legítima Defesa
Informática; Sociedade da Informação.

INTRODUÇÃO.

Em nosso trabalho, empreendemos uma análise de elementos da ficção cyberpunk de

William Gibson a partir de propostas de legitimação do hack back no Brasil e nos Estados
Unidos. Para tanto, utilizamos os trabalhos acadêmicos de defensores da legitimação desta
prática aqui e nos Estados Unidos e os comparamos com os Intrusion Countermeasures
Electronics (ICE) do universo Sprawl de Gibson, especificamente a modalidade Black ICE. A
partir destes elementos, buscaremos criticar aspectos das propostas analisadas.
Serão objetos de análise propostas de legitimação jurídica do hack back. Hack back é a
prática de hackear de volta o hacker, de modo a frustrar um ataque cibernético, recuperar

1 Bacharelando em Direito pelo Centro Universitário das Faculdades Metropolitanas Unidas (FMU) e
Mestrando em Integração da América Latina pelo Programa de Pós-Graduação Integração da América Latina da
Universidade de São Paulo - PROLAM/USP. Bacharel em História pela Faculdade de Filosofia, Letras e
Ciências Humanas da Universidade de São Paulo - FFLCH-USP. Membro do Grupo de Pesquisa “Crimes,
dignidade da pessoa humana e sociedade da informação”, vinculado ao Mestrado em Direito da Sociedade da
Informação do Centro Universitário das Faculdades Metropolitanas Unidas (FMU). Professor de História na
rede privada e municipal de Ensino Básico de São Paulo. Currículo Lattes:
http://lattes.cnpq.br/2990623820443581. E-mail: lucas.marangao@usp.br.
dados e/ou identificar o agressor informático. Por legitimação jurídica aqui se entende não
exatamente quem seriam os legitimados legais para práticas de tais atos (embora o debate
passe por tal questão), mas sim formas de tornar juridicamente aceitáveis tais atos. Como
fontes para tal análise, selecionamos as produções acadêmicas de Ariadnée Abreu de França e
Isaac Rodrigues Ramos Neto, autores do Brasil, e Michael Todd Hopkins, autor dos Estados
Unidos. Por sua vez, as obras literárias escolhidas como fonte foram Neuromancer, Count
Zero e Burning Chrome, de William Gibson, considerado o pai deste gênero. Todas elas estão
ambientadas no mesmo universo, o Sprawl. Aqui, atentamos sobretudo aos Black ICEs. A
partir do estudo destes objetos, realizarei uma análise de como os Blacks ICEs poderiam ser
ou não legitimados pelas propostas de França, Ramos e Hopkins, para extrair daí conclusões
éticas quanto a estas.
O estudo sobre o hack back se justifica pelo aumento da criminalidade informática
tanto no número de crimes cometidos como no volume de danos; e crescente debate sobre
políticas mais eficazes no combate a tal criminalidade de modo a garantir maior segurança
informática. Como veremos, o hack back tem sido cada vez mais proposto como parte central
de políticas de segurança cibernética pelo mundo afora.
Por sua vez, nossa escolha pela ficção científica como objeto a ser comparado com
debates jurídicos atuais se deve à sua fecundidade enquanto forma de imaginar realidades
contrafactuais a partir de tendências atuais e estabelecer reflexões éticas a partir dessa
situação fictícia. A seleção em específico da ficção cyberpunk se deveu ao fato desta abordar
elementos típicos da Sociedade da Informação (como a criminalidade informática e as
políticas empregadas em seu combate), extrapolando-os de forma pessimista para apontar de
modo crítico os sentidos em que esta pode se desenvolver.

1. O HACK BACK COMO ELEMENTO DE POLÍTICA DE SEGURANÇA

INFORMÁTICA.

A sociedade em que vivemos é caracterizada pela centralidade que os fluxos de

informação adquiriram. Chamada de Sociedade da Informação, nela o fluxo digital de dados
pela Internet, pelas diversas intranets e por outras redes passou a ser elemento nevrálgico na
vida de todos os países, alterando de modo intenso a esfera produtiva e toda a sociabilidade
daí decorrente, ainda que não de modo uniforme. Conforme a definição de Manuel Castells,
um dos traços centrais dela é a constituição da informação como matéria-prima, com as
tecnologias se desenvolvendo para permitir a atuação do homem sobre a informação, e não
mais o contrário, onde a informação servia ao melhor manejo da tecnologia (CASTELLS,
2000).
Dentro desse contexto, não tardou a surgir a prática de delitos que exploravam falhas
de segurança presentes em sistemas de informação, resultando na invasão de dispositivos
informáticos e em danos de diversas naturezas. Segundo estudo assinado por Steve Morgan,
editor-chefe da empresa estadunidense de cibersegurança Cybersecurity Ventures, o total de
prejuízos oriundos desse tipo de atividade delitiva deve atingir 6 trilhões de dólares em 2021 -
um valor maior do que o PIB do Japão no início de 2020, o 3º maior do mundo. Para efeitos
de comparação, em 2015 esse valor era de 3 trilhões de dólares, indicando um aumento de
100% em um espaço temporal menor do que o de uma década - já sendo àquela altura um
volume de danos superior ao PIB atual do Reino Unido, o 6º maior do mundo (MORGAN,
2017). Os números atestam a relevância da matéria, estando a acumulação capitalista nos
marcos da Sociedade da Informação diante de um problema crescente para sua manutenção.
Como forma de resolver esse problema e diante das dificuldades dos Estados em
fornecer uma resposta para um problema de caráter transnacional como a criminalidade
informática, surgiu o hack back. O hack back consiste na prática de invadir o dispositivo (e.g.,
um celular ou um computador) de um hacker para impedir ou cessar um ataque cibernético,
para recuperar dados obtidos durante uma incursão dessa natureza e/ou identificar o agressor
para posterior responsabilização civil e/ou criminal. Também chamado de ethical hacking ou
counter-hack, o hack back é de ampla difusão no mundo corporativo - segundo Adam Segal,
em uma entrevista com os responsáveis pelos setores de cibersegurança de várias corporações
nos Estados Unidos, mais de um terço admitiu já ter conduzido operações de hack back,
mesmo sendo a prática ilegal naquele país (SEGAL, 2016, p. 17).
O hack back é composto por três etapas: identificação do causador da invasão;
rastreamento do dispositivo invasor; e contra-ataque. A primeira fase se dá por meio de
sistemas de detecção de invasão (em inglês, intrusion detection systems, ou IDS), cujo
exemplo mais comum são os firewalls. A segunda fase, também chamada de trace-back, é
mais perigosa, ainda que mais veloz, posto que o dispositivo de um terceiro inocente também
invadido pelo criminoso pode ser empregado para confundir o rastreamento. Por fim, a
terceira fase consiste no emprego de técnicas similares às do invasor para cessar o ataque e
eventualmente recuperar informações subtraídas, envolvendo a exploração de
vulnerabilidades e manipulação de códigos maliciosos (RAMOS NETO, 2013, p. 47-49). Nas
corporações, as equipes responsáveis pela execução do hack back são chamados de grupos de
gerenciamento de risco ou times de resposta a incidentes de segurança computacional (em
inglês, computer security incident response team, ou CSIRT), sendo compostas por analistas
de sistemas, cientistas da informação, administradores, economistas e advogados (FRANÇA,
2019, p. 61; RAMOS NETO, 2013).
Trata-se, assim, de modalidade informática de autotutela: visando resolver um
conflito, uma organização ou pessoa atingida pela invasão de dispositivo informático busca
sanar a situação sem recorrer à tutela do Estado, mobilizando recursos privados para fazer
com que sua pretensão (no caso, a de fim do ataque e de identificação do invasor) se
concretize. Tal prática se situa assim em uma zona cinzenta que suscita diversos debates. De
modo a fornecer maior proteção a bens jurídicos típicos da Sociedade da Informação como a
segurança informática (FULLER, 2020, p. 218), autores diversos têm buscado elaborar
formas de tornar a prática do hack back legítima em seus países.

1.1. A legitimação do hack back no Brasil.

No Brasil, as propostas de legitimação do hack back caminham exclusivamente no

sentido de enquadrar o hack back como uma forma de legítima defesa informática.
Superficialmente, o hack back se amolda às condutas tipificadas no Artigo 154-A do Código
Penal, a qual criminaliza a invasão de dispositivo informático. Vejamos:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de
computadores, mediante violação indevida de mecanismo de segurança e com o fim
de obter, adulterar ou destruir dados ou informações sem autorização expressa ou
tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem
ilícita

Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa (BRASIL, 2017).

Ora, o hack back realiza a invasão de dispositivo informático alheio (o dispositivo do hacker),
mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou
destruir dados ou informações presentes no mesmo sem autorização expressa do titular do
dispositivo.
Quando nos detemos e realizamos uma análise atenta percebe-se, porém, que o hack
back se aproxima muito da excludente de ilicitude legítima defesa prevista no Artigo 25 do
Código Penal. Segundo o referido Código, entende-se em legítima defesa quem, usando
moderadamente dos meios necessários, repele injusta agressão, atual ou iminente, a direito
seu ou de outrem (BRASIL, 2017). De fato, o hack back repele uma agressão injusta (i.e, uma
invasão de dispositivo informático alheio) contra direito seu ou de outrem (i.e, o bem jurídico
segurança informática), utilizando meios necessários (i.e, dispositivos e conhecimentos
informáticos) de modo moderado (em princípio, não há motivo para danificar além do
necessário o dispositivo informático do invasor, sendo suficiente que o contra-ataque cesse a
agressão em curso).
Não pretendemos explorar aqui detalhadamente possíveis problemas na adequação do
hack back à legítima defesa tal qual definida no Artigo 25 do Código Penal, o que já fizemos
em outro trabalho (MARANGÃO, 2021). Chamamos atenção apenas ao fato de que os
propositores dessa forma de legitimação da prática (isto é, Isaac Rodrigues Ramos Neto e
Ariadneé Abreu de França) reconhecerem ou mesmo aconselharem que apenas corporações
possam se beneficiar da aplicação da excludente de ilicitude. Ramos Neto afirma que:
[...] é pouco provável a configuração de legítima defesa em relação ao tipo
penal em análise [isso é, a invasão de dispositivo informático] quando a vítima é um
usuário comum, visto não possuir, em regra, aparato e conhecimentos técnicos
para repelir a agressão no tempo adequado. (RAMOS NETO, 2013, p. 56).

Já França é mais restritiva e defende que apenas os ambientes corporativos se beneficiem da

aplicação da excludente de ilicitude. Vejamos:
Sendo assim, por merecer uma maior habilidade técnica e operacional, esta ação
responsiva [i.e., o hack back amparado pela legítima defesa] deverá ser ampliada aos
poucos, restringindo-se inicialmente aos ambientes corporativos, para que no futuro
possa atingir o meio social em sua totalidade, pois, a comunidade em geral ainda não
está preparada para a utilização deste instituto, de modo que, devemos restringir o
uso da legítima defesa digital à atuação de profissionais competentes (FRANÇA,
2019, p. 62).

Importante para nossa análise também que Ramos Neto não descarta uma possível
automatização do processo de hack back a partir de aplicativos desenvolvidos pela indústria
de cibersegurança - sem contudo especificar quais medidas poderiam ser automatizadas (isto
é, recuperação de dados, interrupção de incursão e/ou identificação do invasor) (RAMOS
NETO, 2013, p. 62).

1.2. A legitimação do hack back nos Estados Unidos da América.

Analisaremos a partir de agora outra proposta de legitimação jurídica do hack back,

agora vinda dos Estados Unidos. Lá, representa um esforço de legalização dessa prática a
proposta de criação de cartas de corso virtuais, as quais permitiriam a determinadas empresas
o hack back para proteger o "setor privado" após concessão de certificação governamental.
Essa solução possui fundamento na Constituição dos Estados Unidos, a qual permite ao
Congresso a concessão de cartas deste tipo. O proponente mais fundamentado dessa solução é
Michael Todd Hopkins, em sua dissertação The Exceptionalist’s Approach to Private Sector
Cybersecurity: A Marque and Reprisal Model, de 2011, à época major da Aeronáutica dos
Estados Unidos (HOPKINS, 2011). A proposta, contudo, está longe de ser algo que circula
exclusivamente em meios acadêmicos: recente coluna de opinião do famoso The Wall Street
Journal defendeu a mesma solução em meio ao debate suscitado pela invasão cibernética da
empresa SolarWinds (AYRES, 2021). Contudo, em razão de ser a dissertação de Hopkins o
estudo de maior profundidade que encontramos defendendo essa posição e ser ele
referenciado por outros apoiadores dessa medida (STILL, 2012), centraremos nossa análise
nela.
Os agentes autorizados pelas cartas de corso a praticar o hack back são chamados de
cyberteers por Hopkins, neologismo originado da junção do prefixo cyber e do sufixo "teer"
(tal qual em privateer, isto é, “corsário”). Uma tradução livre para o termo seria "cibersário".
Sugere Hopkins três níveis de autorização para o hack back dos cyberteers, variantes de
acordo com o nível de evidência disponível das incursões cibernéticas: o mais estrito,
composto por medidas de rastreamento dos invasores (trace-back); o intermediário, composto
por medidas de “sanção” e “bloqueio”, que interditam o acesso dos invasores,
respectivamente, ao dispositivo defendido e à conexão com redes informáticas no geral (como
a Internet); e o mais permissivo, composto por medidas de “defesas ativas” - cujo exemplo
fornecido é o malware Stuxnet, responsável por danos a usinas nucleares iranianas. O uso das
“defesas ativas” pelo setor privado é aqui reservada a situações em que o uso de força é
autorizado pelas regulações internacionais de guerra, o que inclui a possibilidade de privar
agentes beligerantes de sua vida (HOPKINS, 2011, p. 50-54). É importante ter em mente que
Hopkins sugere a adoção dessa política de cibersegurança como uma forma de evitar o
vigilantismo virtual que a liberação do hack back como modalidade de legítima defesa
poderia gerar (HOPKINS, 2011, p. 19) - tal qual é a proposta do Active Cyber Defense
Certainty Act, apresentado em 2017 pelo deputado estadunidense Tom Graves, e ainda em
tramitação no Legislativo dos Estados Unido.
Hopkins também aponta uma série de medidas para controlar a atividade dos
cyberteers. Chamamos atenção a três. A primeira é a criação de uma agência regulatória da
prática e das cartas de corso sob autoridade do Departamento de Segurança Interna
(Department of Homeland Security), na qual as mesmas empresas de segurança informática
contratáveis como cyberteers participariam da regulação junto ao governo (HOPKINS, 2011,
p. 50). A segunda, a criação de cortes voltadas exclusivamente ao julgamento de lides
oriundas desse tipo de atividade, nos moldes das cortes de presas - com a sugestão de que
processos pudessem em certos casos tramitar sob segredo de justiça (HOPKINS, 2011, p. 74).
A terceira, que seja requisito para a atividade de cyberteer um depósito judicial grande o
suficiente para deixar pequenas empresas e hackers individuais isolados fora da lista de
agentes autorizados à condução do hack back (HOPKINS, 2011, p. 59) - na prática, tornando
o hack back um monopólio de grandes corporações de segurança informática.
Com estes elementos em mente, iremos analisar agora como os Black ICEs da ficção
cyberpunk de William Gibson se adequariam (ou não) aos modelos de legitimação jurídica do
hack back apresentados, apontando os problemas implícitos nos mesmos.

2. A FICÇÃO DISTÓPICA CYBERPUNK DE WILLIAM GIBSON E OS BLACK ICES.

O que é o cyberpunk? Tal estilo pode ser caracterizado como um tipo de ficção
científica distópica onde a informatização atingiu esferas novas, as diferenças sociais e
econômicas se tornaram mais agudas, os Estados-Nação perderam seu poder antigo e
corporações assumiram funções estatais nos mais diversos âmbitos, cenário sintetizado na
expressão high tech, low life, isso é, alto desenvolvimento tecnológico e baixa qualidade de
vida. Segundo Adriana Amaral,
[...] a visão cyberpunk reconhece o enfraquecimento do espaço público e o
aumento da privatização da vida social, na qual os laços sociais fortes não
existem mais. Para os autores, nesse espaço público as pessoas são tecnologizadas e
reprimidas ao mesmo tempo, sendo que a tecnologia media nossas vidas sociais.
(AMARAL, 2003, p. 4).

Na distopia cyberpunk criada nas obras de William Gibson é central o ambiente do

“ciberespaço”. De fato, o autor cunhou o termo em seu Neuromancer, descrevendo-o da
seguinte forma:
Ciberespaço. Uma alucinação consensual vivenciada diariamente por bilhões de
operadores autorizados, em todas as nações, por crianças que estão aprendendo
conceitos matemáticos...uma representação gráfica de dados de todos os
computadores do sistema humano. Uma complexidade impensável. (GIBSON,
2016b, p. 77).

A semelhança com a Internet é patente, da sua universalidade e transnacionalidade à sua

integração de dados de computadores de todo o mundo.
Também se trata de um mundo onde as corporações se tornaram os sujeitos centrais da
História, superando instituições como os Estados ou as religiões organizadas. Vejamos como
Gibson descreve as grandes empresas de sua ficção:
Poder [...] significava poder corporativo. As zaibatsus, as multinacionais que davam
forma ao curso da história humana, haviam transcendido velhas barreiras. Vistas
 como organismos, haviam adquirido uma espécie de imortalidade. Não se podia
matar uma zaibatsu assassinando uma dezena de executivos principais; havia outros
esperando para subir de nível, assumir os cargos vagos, acessar os vastos bancos de
memória corporativa (GIBSON, 2016b, p. 240).

Dentro desse universo, os hackers (ou cowboys, como são chamados) são
protagonistas de diversos enredos de Gibson. Atuando à margem da lei em diversas situações,
tais anti-heróis são recrutados por agentes vários pela sua habilidade dentro do ciberespaço:
corporações, grupos criminosos e cultos religiosos. Suas missões envolvem normalmente a
invasão de sistemas e burla de mecanismos de segurança, em especial os Intrusion
Countermeasures Electronics (ICE). Vejamos como Gibson os relaciona em Burning
Chrome:
Bobby era um cowboy, e o ICE era seu arroz e feijão, ICE de Intrusion
Countermeasures Electronics [...]. Bobby era um cowboy. Bobby era um invasor,
um ladrão, sempre de olho no sistema nervoso ampliado da Humanidade, subtraindo
dados e créditos na multidão da matrix, um espaço monocromático onde as únicas
estrelas são densas concentrações de informação [...] (GIBSON, 1987, p. 169-170,
tradução nossa)2.

Os ICEs são na ficção de Gibson softwares corporativos que protegem contra invasões
eletrônicas. Caberia compará-los aos nossos firewalls, que cumprem função similar. Todavia,
existem ICEs que não só impedem os hackers de adentrar em um sistema: os chamados Black
ICEs contra-atacam os hackers e criam um fluxo de informação maior do que a capacidade de
processamento neurológica dos criminosos informáticos, levando-os a ataques convulsivos
que podem matá-los, praticando uma modalidade letal de hack back. Vejamos como um
Black ICE é descrito em Burning Chrome:
[...] black ICE é parte da mitologia. ICE que mata. Ilegal, mas não somos também,
todos nós? Um tipo de arma que cria um feedback neural, e você se conecta a ela
uma vez só. É como uma palavra terrível que come a mente de dentro pra fora.
Como um espasmo epiléptico que não cessa até que nada mais reste... (GIBSON,
1987, p. 182, tradução nossa)3.

Black ICEs são de relativamente comum emprego no universo do Sprawl, onde se

desenrolam as tramas de Neuromancer, Count Zero e Burning Chrome. Pela natureza da
ficção científica de Gibson, os Blacks ICEs possuem papel narrativo central, figurando entre
os principais adversários em mais de uma obra. Os protagonistas destas histórias passam por

2 No original: Bobby was a cowboy, and ice was the nature of his game, ice from ICE, Intrusion
Countermeasures Electronics [...]. Bobby was a cowboy. Bobby was a cracksman, a burglar, casing mankind’s
extended electronic nervous system, rustling data and credit in the crowded matrix, monochrome nonspace
where the only stars are dense concentrations of information [...].
3 No original: [...] black ice is a part of the mythology. Ice that kills. Illegal, but then aren’t we all? Some kind
of neural-feedback weapon, and you connect with it only once. Like some hideous Word that eats the mind from
the inside out. Like an epileptic spasm that goes on and on until there’s nothing left at all...
experiências de quase morte ao serem alvos de tais programas, e se tornam lendas do
submundo hacker quando sobrevivem: é o caso de Case, protagonista de Neuromancer, de
Bobby Newmark, protagonista de Count Zero, e de Bobby Quinne, protagonista de Burning
Chrome.
Iremos analisar agora se o hack back que emprega um Black ICE poderia ser
legitimamente utilizado de acordo com as propostas brasileiras e estadunidenses já
apresentadas.

3. ANÁLISE CRÍTICA DAS PROPOSTAS DE LEGITIMAÇÃO DO HACK BACK A

PARTIR DO BLACK ICE.

Nossa escolha pelo universo cyberpunk do Sprawl como parâmetro comparativo às

propostas apresentadas se deveu em parte ao fato do gênero explorar ficcionalmente
elementos da Sociedade da Informação, como vimos. Todavia, defendemos também a
potencialidade da ficção científica no empreendimento de estudos relativos ao Direito na
medida em que, ao realizar uma suspensão da realidade que explora especulativamente
tendências atuais, ela nos garante a possibilidade de compreender de modo mais acurado a
nossa situação presente e, a partir dessa compreensão, refletir criticamente sobre implicações
éticas de propostas atuais. É esta a posição de Sandra Mónica Martins Reis Pinto:
Efectivamente, a ficção científica desafia todas as assunções, todos os pressupostos
que nos habituámos a tomar como dados adquiridos, e deriva daqui a sua
potencialidade enquanto meio para a discussão de questões éticas. Não se limitando
de forma alguma a uma forma de puro entretenimento escapista, a ficção científica
tão-pouco se reduz à exploração das implicações sociais das novas tecnologias. Ela
é, antes de qualquer outra coisa, o desenvolvimento especulativo de alternativas –
políticas, legais, ideológicas, sociais – que nos permitem uma compreensão mais
profunda da nossa situação efectiva e actual (PINTO, 2003, p. 7-8).

Desse modo, nossa análise buscará empregar os Black ICEs como parâmetro para criticar as
propostas de legitimação do hack back. Compararemos inicialmente as propostas brasileiras
ao software ficcional.
Os Black ICEs não se adequam plenamente à proposta brasileira de legitimação do
hack back. Tendo em vista que a legítima defesa prevista no Artigo 25 possui como
pressuposto a moderação na resposta defensiva, um hipotético estímulo informacional que
leve a convulsões e até à morte do hacker para impedir a obtenção de dados está longe de se
adequar à referida excludente de ilicitude. A utilização desse tipo de software para proteger
dados se afasta do princípio da proporcionalidade de Georg Jellinek (o qual asseverava que
não se abatem pardais com canhões), posto que a conduta do hacker contra-atacado com o
Black ICE não lesiona, em princípio, os bens jurídicos vida, integridade física ou integridade
psíquica, e sim a segurança informática. O entendimento quanto à necessidade de
proporcionalidade entre a ofensa e a defesa para que esta seja legítima é disseminado na
doutrina brasileira (NUCCI, 2015, p. 313).
Se poderia ainda argumentar que toda a execução do hack back do Black ICE se dá de
forma automatizada e que, por isso, as comparações com a prática atual carecem de sentido.
Lembremos, contudo, que defensores da legitimação do hack back através do Artigo 25
vislumbram positivamente cenários em que a prática poderia ser automatizada a partir de
softwares desenvolvidos especificamente para tal intento (RAMOS NETO, 2013, p. 62).
Desse modo, o fato do Black ICE constituir um programa (atuando, assim, de forma
automatizada) não o exclui da prática do hack back, em princípio4.
Contudo, os únicos sujeitos que empregam o Black ICE na ficção de Gibson são
corporações - as quais, como vimos, são fortes o suficiente para escapar da responsabilização
de seus atos. Nessa toada, a sugestão de França de restringir o uso do hack back ao ambiente
corporativo aproxima-se da forma com que o Black ICE é empregado na realidade fática
descrita no Sprawl, isto é, como de modo monopolístico pelas grandes corporações.
Cabe salientar que já à altura da aprovação de leis sobre invasões de dispositivos
informáticos foram debatidos mecanismos que legalizavam a legítima defesa informática. No
Substitutivo aos PLS 76/2000, PLS 137/2000 e PLC 89/2003, apresentado pelo Senador
Eduardo Azeredo (PSDB), foi proposta a criação de um Artigo 154-C dentro do Código Penal
que definia a legítima defesa em âmbito informático como a manipulação de código malicioso
por agente técnico ou profissional habilitado, em proveito próprio ou de seu preponente, e
sem risco para terceiros, de forma tecnicamente documentada e com preservação da cadeia de
custódia no curso dos procedimentos correlatos, a título de teste de vulnerabilidade, de
resposta a ataque, de frustração de invasão ou burla, de proteção do sistema, de interceptação
defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e
de práticas gerais de segurança da informação. A restrição de tal legítima defesa apenas a
pessoas habilitadas, contudo, afastava essa modalidade da legítima defesa da prevista no
Artigo 25 do Código Penal, motivo pelo qual foi rejeitado o Substitutivo pela Comissão de
Constituição, Justiça e Cidadania do Senado Federal (RAMOS NETO, 2013, p. 58-59). Como
se pode ver, a restrição sugerida por França e Ramos Neto é problemática.
4 Em razão dos limites do trabalho, não debateremos se um programa de tal natureza poderia ser classificado
como um ofendículo e se o emprego de ofendículo dessa natureza constituiria modalidade de legítima defesa,
embora seja pesquisa a se desenvolver.
 Esse é o sentido, aliás, em que caminha também a proposta de Hopkins da criação de
cartas de corso virtuais, a qual analisaremos a partir de agora. Como vimos, ela fornece
apenas a grandes corporações de segurança informática o direito ao hack back, através da
exigência de depósitos judiciais razoáveis. Essa situação se agrava tendo em vista que
Hopkins defende abertamente que as próprias empresas responsáveis pelos hack backs
legítimos participem conjuntamente das agências regulatórias da prática, tornando a esfera de
controle do hack back muito mais cinzenta e problemática. De fato, não é tão difícil imaginar
que em um cenário tal qual delineado por Hopkins modalidades ilegais de hack back
poderiam se concretizar, tal qual é o caso do Black ICE, em razão da assunção do papel
regulatório pelas próprias reguladas.
O caráter problemático, contudo, se acentua quando temos em mente que o Black ICE
poderia se adequar às “defesas ativas” cibernéticas propostas por Hopkins, na medida em que
o emprego desse software constitui evidente uso da força para proteger o setor privado, na
distopia de Gibson.
Assim, mesmo a violação do direito à vida do hacker durante um hack back não é
contraditória com a estrutura legitimatória proposta pelo estadunidense. A situação poderia
ocorrer mesmo que o hacker não seja passível de classificação como agente beligerante, já
que um indivíduo pode ser objeto legítimo de uso da força independentemente desse status e
fora de conflitos armados - como o próprio Hopkins reconhece (HOPKINS, 2011, p. 72).
Lembramos também que incidentes de fronteira envolvendo agentes estatais ou não-estatais,
mesmo quando resultam em mortes, não são unanimemente considerados como "uso de força"
de acordo com a legislação internacional - estando, portanto, dentro do limite proposto por
Hopkins para o uso das “defesas ativas” (HOPKINS, 2011, p. 70). Ademais, é necessário
recordar que o exemplo fornecido pelo militar dos Estados Unidos de uso da força dentro do
ambiente cibernético abaixo do limite do ataque armado é o malware Stuxnet - exemplo que
está longe de ser passivamente aceito enquanto tal, já que tratou-se de um ataque à
infraestrutura crítica de um outro Estado (GIL&DUCHEINE, 2013, p. 459). Como se pode
ver, a proposta por Hopkins é aberta a possibilidades que, se aplicadas ao mundo do Sprawl (o
qual, lembramos, é uma distopia), forneceriam margem para que o hack back letal dos Black
ICEs fosse juridicamente legitimado ao menos em alguns casos - realidade que não se verifica
nem mesmo na realidade distópica imaginada por Gibson. Há evidente relativização de outros
direitos em busca da defesa da segurança informática dos setor privado não crítico, os quais
podem incluir até mesmo o ataque às infraestruturas críticas de outros Estados (e, por
consequência, violações a direitos básicos de outras populações).
 O trabalho aponta assim os problemas éticos implícitos na legalização do hack back
segundo as propostas brasileiras e, sobretudo, estadunidenses. Embora não haja uma
adequação perfeita do uso do Black ICE como imaginado por Gibson às propostas, a
aproximação se dá em todos os casos pelos agentes legitimados exclusivos (isto é, as
corporações). Se caminha aqui a uma situação de redução do monopólio estatal das atividades
policiais (entre elas a investigação e o exercício da violência legítima) em sentido muito
similar ao da distopia gibsoniana, isto é, fornecendo estes poderes às corporações. No caso
brasileiro, há também proponentes da automatização da prática, tal qual o Black ICE. No caso
da proposta de Hopkins, contudo, a aproximação é mais intensa e problemática, já que há a
autorização de que em meio ao hack back ocorram danos típicos de situações em que o uso da
força (e segundo alguns autores também o ataque armado) é legitimado, tal qual no caso do
Black ICE.

CONCLUSÃO.

Na Sociedade da Informação, os ativos econômicos centrais são os dados, que

permeiam toda a nossa sociabilidade. Essa centralidade não passou despercebida pela
criminalidade, que têm se adequado e passado a buscar obter ilicitamente tais dados, gerando
prejuízos tremendos. Diante da morosidade e incapacidade do Estado para deter tais crimes,
novos mecanismos de solução a este problema de segurança informática têm sido aventados.
Um deles é a prática do hack back, isto é, a invasão de dispositivos de hackers para defender
os interesses de suas vítimas.
Tal prática, contudo, está longe de ser juridicamente aceita de forma indiscutível.
Propostas de racionalização e legitimação jurídica dela têm sido ventiladas em vários locais
do globo. Em nosso trabalho, analisamos centralmente duas, uma nacional e outra forânea: a
primeira busca legitimar o hack back através da excludente de ilicitude legítima defesa; a
segunda, através da sua regulação via cartas de corso virtuais.
A possibilidade de contra-atacar hackers já havia sido discutida nas obras cyberpunk
de William Gibson. Nelas, contudo, o hack back podia adquirir uma feição particularmente
letal, o Black ICE, levando à morte aqueles que ousam desafiar as onipotentes corporações,
únicas a possuírem este tipo de software ilegal. A ficção cyberpunk, é importante ter em
mente, costuma apresentar elementos da Sociedade da Informação sob um viés especulativo
que permitem criticá-la através do seu desenvolvimento distópico. No caso do Black ICE,
vemos fenômenos típicos das sociedades pós-industriais levados ao extremo: a privatização de
funções tipicamente estatais como o exercício da violência, a debilidade do Estado em
enfrentar os atos ilegais das corporações e a defesa da segurança informática das grandes
empresas colocada acima de direitos fundamentais, como o direito à integridade psíquica,
física e mesmo à vida dos hackers.
Através da comparação do Black ICE com as propostas de legitimação do hack back
estudadas, apontamos aspectos problemáticos nestas, mormente o virtual monopólio
corporativo que ambas fornecem à prática, tal qual se dá faticamente na distopia gibsoniana.
No caso da proposta de Hopkins, tais aspectos se acentuam em razão da legitimação que a
mesma fornece ao hack back que constitua nos termos do próprio autor uso da força, o qual
poderia tornar legal em certas situações o uso do Black ICE, caso as cartas de corso por ele
propostas estivessem disponíveis no Sprawl de Gibson.
Cabe lembrar, mesmo na realidade contrafactual em que o Black ICE existe ele é algo
ilegal até para as onipotentes corporações e que trata-se, afinal de contas, de um mundo
distópico. A constatação do fato de que hoje em dia se discute a sério mecanismos júridicas
que poderiam legitimar esse tipo de programa nos aponta questões éticas a se debater no que
os principais autores aqui apresentados propõem.

REFERÊNCIAS BIBLIOGRÁFICAS.

AMARAL, A. Cyberpunk e pós-modernismo. Portugal, 2003. Disponível em:

<http://www.bocc.ubi.pt/pag/amaral-adriana-cyberpunk-posmordenismo.pdf>. Acesso em 18
jun. 2021.
AYRES, T. “A Maritime Solution for Cyber Piracy”. The Wall Street Journal, Nova Iorque,
2021, 13 mai 2021. Disponível em: <https://www.wsj.com/articles/a-maritime-solution-for-
cyber-piracy-11620922458>. Acesso em 05 ago. 2021.

BRASIL. Código Penal. Decreto Lei nº 2.848 de 7 de Dezembro de 1940. In: Vade Mecum.
21. ed. São Paulo: Saraiva Educação, 2019.

CASTELLS, Manuel. A era da informação: economia, sociedade e cultura. In: A Sociedade

em rede. São Paulo : Paz e Terra, 2000. v. 1.

FRANÇA, Ariadnée Abreu de. Legítima Defesa Digital: uma estratégia de governança
corporativa e de criminal compliance para a preservação das empresas. 2019. 83 f. Dissertação
(Mestrado em Direito Digital). Faculdade de Direito do Recife da Universidade Federal de
Pernambuco, Recife, 2019.

FULLER, G. P. “Os delitos e as novas tecnologias em face da relação dialógica com os

direitos humanos”. In: Direitos humanos e fundamentais na Era da Informação.
SARLET, Ingo Wolfgang; WALDMAN, Ricardo Libel (orgs.). Porto Alegre: Fundação Fênix,
2020.

GIBSON, William. Burning Chrome. New York: Ace Books, 1987.

_____. Count Zero. São Paulo: Aleph, 2016a.

_____. Neuromancer. São Paulo: Aleph, 2016b.

GILL, Terry D.; DUCHEINE, Paul A. L. "Antecipatory Self-Defense in the cyber context".
International Law Studies, EUA, v. 89, p. 439-471, 2013. Disponível em: <https://digital-
commons.usnwc.edu/cgi/viewcontent.cgi?
referer=https://www.google.com/&httpsredir=1&article=1037&context=ils>. Acesso em 10.
Jul. 2021.

HOPKINS, Michael. The Exceptionalist’s Approach to Private Sector Cybersecurity: A

Marque and Reprisal Model. 2011. 88 f. Dissertação (Mestrado em Direito). George
Washington University’s Law School, Washington, 2011.

MARANGÃO, Lucas Rodrigues. Legítima defesa informática: possibilidade e impacto

jurídico-penal na Sociedade da Informação. 2021. 34f. Trabalho de Conclusão de Curso
(Bacharelado em Direito). Centro Universitário das Faculdades Metropolitanas Unidas, São
Paulo, 2021.

MORGAN, Steve. Hackerpocalypse: A Cybercrime Revelation. Herjavec Group, 2016.

Disponível em: <https://www.herjavecgroup.com/hackerpocalypse-cybercrime-report/>.
Acesso em: 18 Mai. 2021.

NUCCI, Guilherme de Souza. Código Penal Comentado. Rio de Janeiro: Forense, 2015.

PINTO, Sandra Monica Martins Reis. Ficção Científica, Direito e Ética. Disponível em:<
https://docgo.net/ficcao-cientifica-direito-e-etica-sandra-monica-martins-reis-pinto>. Acesso
em: 26 Mai. 2020.
RAMOS NETO, Isaac Rodrigues. A prática do Ethical Hacking pelos times de resposta a
incidentes de segurança computacional como conduta de legítima defesa. 2013. 69 f.
Trabalho de Conclusão de Curso (Bacharel em Direito). Faculdade de Direito da Universidade
Federal do Ceará, Fortaleza, 2013.

SEGAL, Adam. The hacked world order: how nations fight, trade, maneuver, and
manipulate in the digital age. 1ª ed. New York: PublicAffairs, 2016.

STILL, Johnathan L. Resurrecting Letters of Marque and Reprisal to Address Modern

Threats. 2012. 48 f. Dissertação (Mestrado em Estudos Estratégicos). United States Army
War College, Carlisle, 2012.