Quando um ataque cibernético é um crime de guerra?
Na guerra da Ucrânia, os danos causados pelos ataques cibernéticos parecem insignificantes se comparados às atrocidades dos combates diretos. Mas isso não significa que não aconteçam ou que os civis sejam poupados.
Em 24 de fevereiro de 2022, o dia em que a Rússia iniciou a invasão da Ucrânia, um ataque cibernético contra o serviço de internet via satélite KA-SAT interrompeu as comunicações do exército ucraniano. O ataque, atribuídoLink externo pelas autoridades americanas à agência de espionagem militar russa, propagou-se para além das fronteiras ucranianas. Ele deixou dezenas de milhares de pessoas sem acesso à internet em toda a Europa, da França à Ucrânia. Na Alemanha, cerca de 2.000 turbinas eólicas permaneceram offlineLink externo por um mês após o ataque.
Um dia depois, um posto de controle na fronteira entre a Ucrânia e a Romênia foi invadido por um malware de limpeza de dados – um software malicioso – que retardou o processamento dos refugiados que fugiam do país. Os autores desse ataque permanecem desconhecidos.
Estes foram dois dos 35 ciberataques realizados contra infraestruturas críticas e civis na Ucrânia. Os ataques estão sendo contabilizadosLink externo pelo CyberPeace Institute, uma ONG com sede em Genebra, desde o início da guerra. Bruno Halopeau, diretor de tecnologia e chefe de análise cibernética da organização, afirma que, embora a maioria dos ataques visasse objetivos militares, instituições públicas e meios de comunicação, os civis também foram – intencionalmente ou não – afetados.
Sob o direito internacional humanitário (DIH), ataques contra civis podem constituir crimes de guerra. “Monitoramos a situação e coletamos provas para que, se em algum momento houver uma investigação, estejamos em condições de fornecer provas do que aconteceu”, diz Halopeau. Em seu site, a ONG lista e descreve os ciberataques, os danos sociais que eles causaram e informações sobre sua autoria.
“O que publicamos em nosso site é uma fração das informações que temos”, acrescenta Halopeau. Essas informações, diz ele, estão disponíveis para possíveis procedimentos legais futuros. O CyberPeace Institute também coleta tais evidências para avaliar se os países estão respeitando os tratados internacionais que assinaram e para identificar lacunas na lei.
Direito de guerra na era digital
O direito internacional humanitário – também conhecido como direito de guerra – impõe limites à condução de hostilidades e procura proteger civis, profissionais médicos, soldados feridos e prisioneiros de guerra. É proibido atacar diretamente civis. O uso de armas cujos efeitos não podem ser limitados a objetivos militares também é interditado. No mundo físico, isso significa, por exemplo, não atacar hospitais e não bombardear áreas densamente povoadas. Mas, no mundo digital, as coisas ficam mais complicadas.
Halopeau explica que é muito difícil projetar um malware que afete apenas sistemas específicos e não uma grande variedade deles. A invasão do serviço de internet KA-SAT é um bom exemplo.
A atual guerra entre a Rússia e a Ucrânia, que se alastrou pelo ciberespaço, também não diferencia civis de soldados. Em 26 de fevereiro, o governo ucraniano pediu que hackersLink externo amadores de todo o mundo se juntassem ao seu “exército de TI” e atacassem alvos russos. Ainda no primeiro dia de conflito, o Anonymous, um coletivo global de hackers, declarouLink externo que estava conduzindo uma guerra cibernética contra Moscou.
Halopeau acredita que muitos ‘ciberguerreiros’ não estejam cientes do que sua participação no conflito implica sob o DIH. “Ao se engajar ativamente neste conflito, eles podem inconscientemente perder sua proteção legal como civis e passar a ser considerados como combatentes. Eles estão sujeitos à retaliação do Estado que atacam e a possíveis processos após a guerra”, diz.
Guardião do direito internacional humanitário
Como guardião do DIH, o Comitê Internacional da Cruz Vermelha (CICV) presta muita atenção aos últimos acontecimentos no campo de batalha, contata confidencialmente os países para lembrá-los das regras existentes e avalia se a lei precisa ser mudada. “As operações cibernéticas estão cada vez mais frequentes em conflitos armados”, diz Tilman Rodenhäuser, assessor jurídico do CICV. “E um dos papéis-chave do CICV é enfatizar o possível custo humano de tais operações, o custo potencial para os civis”.
O DIH foi estabelecido num mundo no qual ainda não existiam ciberataques. Suas regras ainda são adequadas aos dias de hoje? “Não podemos criar novas regras de conflito armado para cada novo desenvolvimento tecnológico que vemos”, responde Rodenhäuser.
Mas certos aspectos do DIH permanecem abertos à interpretação. Uma de suas regras mais antigas estabelece a proteção de objetos civis. Por muitos anos, dados de civis – por exemplo, documentos confidenciais mantidos em arquivos físicos – não podiam ser legalmente danificados ou destruídos. Mas o que diz a lei se os mesmos dados forem armazenados digitalmente?
“A proteção de dados [digitais] não é explicitamente contemplada pelas regras do direito internacional humanitário”, explica Rodenhäuser, que acrescenta que os especialistas jurídicos e os Estados têm opiniões divergentes sobre como o DIH se aplica a este caso.
Para o CICV, é importante que os Estados interpretem a lei existente de forma que a população e a infraestrutura civil gozem do mesmo nível de proteção que tinham no passado, e que as armas cibernéticas sejam submetidas aos mesmos limites que os meios tradicionais de guerra.
“Se os Estados se manifestassem e dissessem: ‘na verdade, não, atacar dados é um jogo justo, e eles podem ser danificados e apagados em conflitos armados sem consequências legais’; então isso seria uma verdadeira preocupação humanitária, e teríamos que pensar em novas regras”, diz Rodenhäuser.
Mas novas regras de direito internacional precisam ser negociadas pelos Estados. Uma vez que um tratado existe, ele deve ser assinado e ratificado – um processo longo e complicado, especialmente tendo em vista que as atuais regras do DIH vinculam praticamente todos os Estados. “É fundamental que as atuais regras também sejam respeitadas no que diz respeito às operações cibernéticas, porque a grande maioria do que consideramos uma ameaça para os civis na verdade já é abarcada pelas regras existentes”, conclui o especialista do CICV.
Posicionamento da comunidade internacional
Ao longo das últimas duas décadas, a aplicação do direito internacional – inclusive o DIH – ao ciberespaço tem sido tema de muitas discussões multilaterais na ONU.
Houve um avanço em 2013, quando um Grupo de Peritos Governamentais (GGE, na sigla em inglês) produziu um relatório, adotado por consenso, afirmando que o uso das tecnologias da informação pelos Estados estava sujeito ao direito internacional. A questão de como as leis se aplicam permaneceu em aberto.
Em 2019, foi estabelecido um novo grupo de trabalho na ONU, aberto a todos os 193 Estados-membros. Seu objetivo era acompanhar as conclusões dos especialistas governamentais. “O desafio era trazer todos de volta à mesa e restabelecer o consenso”, diz Jürg Lauber, embaixador da Suíça na ONU em Genebra e ex-presidente do grupo de trabalho.
Sua tarefa, explica Lauber, foi complicada pelo “aumento das tensões políticas entre as grandes potências” e por “tentativas de reescrever as regras por parte de um pequeno grupo de países”.
No final, o grupo de trabalho também concluiu que o direito internacional se aplica à guerra cibernética. Mas também não conseguiu entrar em acordo sobre como implementar isto. “Em substância, houve progresso, mas não foi um grande salto à frente. No entanto, agora o apoio é muito mais amplo, porque todos tiveram a oportunidade de participar da discussão”, diz Lauber.
Foi criado um novo grupo de trabalho na ONU para o período de 2021-2025. “Espero que eles consigam ir mais longe […]. Há claramente uma lacuna entre os Estados-membros concordarem sobre a aplicabilidade do direito internacional existente e o que vemos ocorrendo na realidade, com a utilização ilegal da cibertecnologia”.
Crimes de guerra?
Julgar crimes de guerra por atrocidades cometidas no mundo físico é um processo longo e difícil que pode levar anos. O ciberespaço ainda é mais complexo. Encontrar quem está por trás de um ataque cibernético é muito difícil, pois eles podem facilmente ser lançados por terceiros.
“Às vezes são necessários anos de investigação para realmente entender como um ataque foi planejado, como foi realizado, quem o ordenou, bem como para saber quais indivíduos estavam por trás dele”, explica Bruno Halopeau. Normalmente, informações do mundo real – se um governo estava envolvido, nomes das pessoas que trabalhavam num determinado momento num determinado lugar, fotos etc. – são necessárias para corroborar os rastros virtuais, acrescenta ele. “Você precisa combinar muitas informações que não estão imediatamente disponíveis. E isto é na melhor das hipóteses, na qual você sabe mais ou menos que só há um responsável”, diz o especialista.
No contexto da guerra na Ucrânia, os Estados nacionais, mas também grupos e indivíduos criminosos, conduziram ciberataques. “Então, a responsabilidade das pessoas que participaram terá que ser definida e isso será muito complicado”, prevê Halopeau. Ele acredita que alguns ataques cibernéticos que prejudicaram civis – tais como o do KA-SAT ou o do posto de controle fronteiriço entre a Ucrânia e a Romênia – podem ser de interesse para o Tribunal Penal Internacional (TPI), que já lançou uma investigação sobre os supostos crimes de guerra cometidos em solo ucraniano. Até agora, o TPI não está investigando a guerra cibernética.
Apesar dos horrores, a guerra na Ucrânia pode servir como uma lição sobre a necessidade de fortalecer os processos de responsabilização no ciberespaço, afirma. “Este é um dos primeiros conflitos em que os ciberataques são utilizados em tal escala. […] Por isso, acredito que, em relação ao direito internacional humanitário, deve haver uma discussão para reconhecer como o ciberespaço pode ser utilizado para prejudicar as pessoas, bem como para prevenir comportamentos inapropriados”.
Editado: Imogen Foulkes
Adaptação: Clarice Dominguez
Certificação JTI para a SWI swissinfo.ch
Mostrar mais: Certificação JTI para a SWI swissinfo.ch
Veja aqui uma visão geral dos debates em curso com os nossos jornalistas. Junte-se a nós!
Se quiser iniciar uma conversa sobre um tema abordado neste artigo ou se quiser comunicar erros factuais, envie-nos um e-mail para portuguese@swissinfo.ch.