Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarA perspectiva de uma vítima sobre o direito internacional no ciberespaço
Publicado pelo The Lawfare Institute em cooperação com
Na primavera de 2022, duas operações significativas de ransomware visaram 27 órgãos governamentais da Costa Rica, além do sistema de saúde do país. O governo da Costa Rica recusou-se a pagar o resgate exigido. À luz das ameaças dos hackers de vazar informações sensíveis dos dados que encriptaram, muitos sistemas geridos pelo governo tiveram de ser colocados offline (incluindo os relacionados com a cobrança de impostos, medicamentos e segurança social). O presidente da Costa Rica, Rodrigo Chaves, declarou que a Costa Rica estava “em guerra” com os agressores (que eram afiliados a dois grupos de língua russa, conhecidos como Conti e Hive). O governo da Costa Rica passou o último ano a trabalhar na recuperação e remediação, com assistência técnica dos governos estaduais (nomeadamente, dos Estados Unidos e da Espanha) e da indústria.
À luz destes acontecimentos, não é surpreendente que a Costa Rica tenha acabado de publicar um dos documentos de posição mais robustos sobre a aplicabilidade do direito internacional no ciberespaço. Ao fazê-lo, torna-se (pelas nossas contas) o 36º estado a oferecer uma posição nacional oficial sobre o assunto. Assim, a Costa Rica adere a uma tendência – embora ainda não seja uma amostra grande – em que os estados parecem cada vez mais interessados em melhorar a transparência dos seus respectivos pontos de vista jurídicos e em fornecer um quadro para o diálogo futuro (e, talvez, para um acordo).
A declaração da Costa Rica acompanha a grande maioria dos seus antecessores no reconhecimento da aplicabilidade do direito internacional “na sua totalidade” às tecnologias de informação e comunicação (TIC), incluindo a proibição do uso da força e o direito internacional humanitário (DIH). Aborda muitos dos mesmos temas abordados nas declarações nacionais de outros Estados — tais como a não intervenção, a soberania, as contramedidas e a devida diligência — ao mesmo tempo que aborda outros que não receberam tanta atenção — incluindo os direitos humanos, a resolução pacífica de litígios e a neutralidade. A Costa Rica claramente gastou tempo examinando as declarações de outros estados e, em particular, “projetos acadêmicos sobre a aplicação do direito internacional às operações cibernéticas”, incluindo o Processo de Oxford (do qual um de nós é co-organizador), os Manuais de Tallinn, e o kit de ferramentas de direito cibernético.
O Instituto de Direito, Inovação e Tecnologia da Temple University Law School, conhecido como iLIT, tem trabalhado em conjunto com o programa de Tecnologia, Direito e Segurança da American University para catalogar e analisar as três dúzias de declarações nacionais existentes sobre a aplicação do direito internacional. Ficamos, portanto, satisfeitos ao ver a elaborada declaração da Costa Rica. Oferece uma oportunidade não apenas para se envolver com as novas contribuições da Costa Rica, mas também para avaliar a situação geral do funcionamento do direito internacional no ciberespaço.
Soberania
A Costa Rica junta-se à maioria dos Estados que abordaram o tema da soberania (incluindo o Brasil, o Canadá, o Japão e, mais recentemente, a Irlanda), categorizando-a como uma regra que pode ser violada pelas operações cibernéticas de outros Estados. Ao fazê-lo, a declaração da Costa Rica isola ainda mais o Reino Unido – que dobrou a ideia de que a soberania é melhor pensada como um princípio de fundo que informa outras regras, observando que “não considera que o conceito geral de soberania por si só fornece uma base suficiente ou clara para extrapolar uma regra específica ou proibição adicional de conduta cibernética.”
Que operações cibernéticas violarão a soberania? Também aqui a declaração da Costa Rica atinge amplamente, incluindo não apenas ataques físicos, mas também operações cibernéticas que desencadeiam uma “perda de funcionalidade da infra-estrutura cibernética localizada no Estado vítima”. Esta posição faz sentido dados os danos económicos não físicos (mas extensos) que a Costa Rica sofreu nos ataques de ransomware de 2022. Da mesma forma, a Costa Rica inclui uma “usurpação de funções inerentemente governamentais” como uma violação da soberania, seguindo o Manual de Tallinn 2.0, e incluindo operações “que interferem nos processos democráticos de um Estado, tais como eleições, respostas a uma segurança nacional ou emergência sanitária, tais como como a pandemia da COVID-19 e a sua escolha de política externa.” A posição da Costa Rica difere da declaração imediatamente anterior à sua (da Irlanda), que não reconheceu a usurpação de funções governamentais como uma condição de violação da soberania.