Nos últimos anos, a população em geral tem vindo a tomar contacto, de uma forma romântica, com a atividade dos hackers. Na imagética coletiva, o hacker é jovem, rebelde, homem e branco, gosta de roupas que o confundem com um skater, e dedilhando num teclado consegue resultados surpreendentes, como transferir em frações de segundo, milhões de dólares, provocar apagões em cidades inteiras, alterar identidades, ou roubar planos de bombas nucleares.

Todos nós temos vindo a aderir com mais ou menos entusiasmo às vantagens de uma economia digital em processo acelerado de afirmação, e às suas disrupções. O reverso da moeda é que a exposição ao digital trouxe novos riscos. Os hackers são pessoas que, dispondo de algum conhecimento técnico (ou no limite, nenhum), se dedicam a explorar as vulnerabilidades da chamada “sociedade digital”. Existem várias categorias de hackers cuja motivação é criminosa, batizados de “black hat hackers”. No extremo oposto, os “white hat hackers”, ou hackers éticos, utilizam as mesmas técnicas, ferramentas e estratégias usadas pelos criminosos, para descobrir vulnerabilidades nos sistemas, infraestruturas e aplicações informáticas e, por esta via, as corrigir. Em função da experiência e das capacidades técnicas, os hackers vão desde os “script kiddies”, (iniciantes de baixos recursos e qualificações, com uma capacidade letal reduzida), até os “nation sponsored hackers” (que integram equipas e/ou brigadas cibernéticas de grande capacidade e que praticam a intrusão sob patrocínio de potências estatais), ou os “elite hackers” (uma pequena minoria que, pelo seu domínio técnico, é recrutada para a antecipação de ameaças ou para o campo da inovação, seja ela legítima ou criminosa). Ainda no plano da motivação e da preparação técnica, encontramos os “social engineering hackers” (gente não necessariamente especializada no plano da computação ou da engenharia de redes, mas que fazendo uso da manipulação psicológica levam as suas vítimas a divulgar conteúdos privados ou confidenciais, ou realizar determinadas ações, por exemplo, pagamentos, transferências bancárias, ou donativos), ou os “hactivistas” (um tipo de hacker que se move para a mediatização de causas políticas ou sociais). Também em função das motivações, são considerados hackers os chamados “insiders” ou “whistleblowers”, cabendo nesta categoria todos aqueles que, tendo acesso a informação privilegiada, a divulgam a partir do interior da organização, especialmente dados sob a proteção de organizações governamentais, mas também de grandes empresas com poder e afirmação social.

Como facilmente daqui se depreende, existem várias categorias de hackers que, em função das suas motivações e preparação, podem causar mais ou menos danos ou benefícios, e estar ou não ao serviço do Bem ou do Mal.

Em Portugal, a atividade de hacking tem vindo a ser particularmente romanceada à volta da pessoa do Rui Pinto, hacker com um percurso de vida sinuoso, envolvido em processos de roubo de bancos, tentativas de extorsão e chantagem, e divulgação de informações relacionadas com o mundo do futebol. Já depois de ter sido quebrado o seu anonimato, Rui Pinto assumiu em nome próprio uma série de intrusões à Procuradoria-Geral da República, ao Departamento Central de Investigação e Acão Penal, e a uma sociedade de advogados de renome, onde terá tido acesso a informações sob segredo de justiça de inúmeros processos, incluindo o das famosas “Secretas”, sob segredo de Estado, mas também do “Luanda Leaks”, dos Vistos Gold, ou do caso EDP. As intrusões praticadas terão passado pelo acesso indevido a mensagens de correio eletrónico, mas também, a pastas de sistema onde estariam guardados diversos ficheiros e documentos relacionados com esses casos.

PUB • CONTINUE A LER A SEGUIR

Desde a sua captura e prisão que, em sua defesa, Rui Pinto tem pretendido veicular a ideia que a sua atividade se destinava a tornar públicos documentos confidenciais como fórmula de denúncia de situações de corrupção e, pela pressão popular, forçar a atuação da Justiça, tendo, aliás, procurado beneficiar do estatuto de whistleblower, denunciante, ou cooperante, aparentemente desconhecido do nosso processo penal, mas existente noutras jurisdições. A sua posição suscitou apoio popular, e de figuras de renome, de uma certa classe política, do direito, e de organizações de transparência, atraídas pela já antiga questão de saber se certos elementos informativos, ainda que obtidos ilegalmente, podem ou devem, na posse das Autoridades, ser utilizados para dar sequência a investigações ou, até, servir de suporte probatório em ambiente criminal. Discute-se, ainda, o papel do jornalismo, como watchdog ou quarto poder, na denúncia de casos de interesse público em matéria de justiça, na recetação e divulgação de informações obtidas a partir de intrusões.

A jurisprudência europeia desde há muito que tem defendido que é fundamental assegurar a proteção das liberdades e dos direitos fundamentais das pessoas, nomeadamente do direito à vida privada ou do interesse de Estado, assentindo, porém, que em certas circunstâncias, em particular, para fins exclusivamente jornalísticos ou de expressão artística ou literária, que se enquadrem no âmbito do direito fundamental à liberdade de expressão, sejam de aceitar certas derrogações (v.g., TJUE, caso Satakunnan C-73/07), ainda que limitadas (v.g., TEDH, caso Axel Springer vs Germany n.º 39954/08), sendo as circunstâncias concretas da divulgação cruciais para a apreciação judicial da sua (in)adequação (v.g. TEDH, caso Stoll vs Switzerland n.º 69698/01).

Assim, mais do que saber se deve ou não haver divulgação de dados e documentação obtida, ainda que ilegalmente, em ações de intrusão, considero essencial, em momento prévio, que se faça a discussão sobre a integridade da informação e das consequências que podem advir, pela facilidade de manipulação que existe, dos cenários de intrusão.

Na verdade, o estado da arte e da tecnologia permitem já hoje que, numa intrusão informática, um hacker altere significativamente o conteúdo da informação, incluindo dados e metadados, acrescentando elementos, alterando outros, apagando o que considerar necessário, de uma forma tal que, mesmo numa perspetiva forense, se torna difícil ou até impossível, reconstruir a alteração, ou fazer prova da “verdade” anterior. Por essa razão a produção de prova digital segue regras estritas de avaliação e validação, para permitir assegurar, em momento posterior, a verificação dos pressupostos e a integridade da informação, dos documentos, e dos sistemas. Não é, por isso, necessário ser especialista em física quântica, ou ter conhecimentos profundos de computação, para perceber os riscos que existem, para as democracias e para o normal funcionamento de um Estado de Direito, se houver incentivos à divulgação de informações obtidas a partir de intrusões e, até, recompensas para quem as pratique.

Compreendo o entusiasmo com que muitos olham para as supostas denúncias lançadas a público pelo Rui Pinto, e a curiosidade que existe em relação à documentação que está em sua posse, por estar guardada em ficheiros por ele encriptados, e cujas chaves apenas ele conhecerá, fruto do desalento em relação a uma certa impunidade de que beneficia o crime mais sofisticado. Estou, ainda, solidário com os órgãos de investigação criminal, que têm cada vez mais dificuldade em combater o crime organizado que aproveita de sobremaneira as oportunidades de um mundo cada vez mais global, integrado e digitalizado. Mas, em sentido inverso, não me agrada pensar que a solução para as dificuldades passa por abrir mais espaço legal à divulgação de informações obtidas em cenários de intrusão, onde não é difícil – sendo, até, cada vez mais fácil – a quem tem recursos, construir as suas próprias narrativas e histórias, pondo em causa a integridade de documentos e dados, abrindo espaço a derivas populistas onde o juízo se faz nos jornais, nas redes sociais, num ambiente de pós-verdade e superficialidade que não é compatível com os valores essenciais de uma justiça equitativa, imparcial e, diga-se, “verdadeiramente verdadeira”.

Não falta na comunidade hacker quem questione a preparação técnica de Rui Pinto para, sozinho, praticar o conjunto de atos que lhe são imputados. Quem conheça a Hungria, neste contexto, sabe que, à semelhança de outras paragens no Leste europeu, além de um local aprazível para fazer Erasmus, é um dos centros privilegiados para recrutamento de gente especializada e disponível para praticar atos de intrusão ilegal, entre outros, com alguma proteção e conivência das autoridades locais. A narrativa de um Rui Pinto, altamente especializado, a trabalhar sozinho, movido por motivações próprias é, para muitos, implausível. Obviamente, compreendo que não falte quem deseje – incluindo o próprio acusado – que este assunto “morra”, com uma condenação por atos próprios, apenas imputáveis a Rui Pinto. Mas sem que fique claro se houve ou não financiamento da sua atividade criminosa, e quais as motivações de quem o financiou, é difícil aceitar que haja divulgação legítima da documentação por si obtida nas suas diversas intrusões. Teria, aliás, sido interessante que na preparação da acusação tivessem sido validados os conhecimentos técnicos, reais, de Rui Pinto, para aquilatar até que ponto este estaria apto a praticar os atos que assume ter executado, ou concluir que, necessariamente, teria de ter recorrido ao apoio de terceiros.

Rui Pinto tem direito a um julgamento imparcial, feito com a prova obtida, e no contexto da verdade formal que, entretanto, venha judicialmente a ser determinada. Mais, compreendo, genuinamente, que sendo arguido, Rui Pinto tudo faça para construir à sua volta a narrativa que lhe é mais favorável, num quadro onde não excluo que corra vários riscos.

Considero, porém, irrefletido que, num tempo onde constatamos existir uma grande fragilidade, crescente, na garantia da integridade da informação, em que a maioria das infraestruturas e sistemas de gestão são vulneráveis, e em que o espaço público vive uma profunda cacofonia, dominado por fake news, pós-verdades, e significativa superficialidade, haja tanta gente com responsabilidades a incentivar a divulgação de documentação obtida na sequência de intrusões informáticas, e se procurem criar novas fórmulas jurídicas que protejam a sua utilização.