ENTREVISTA || Cláudia Pina, é magistrada, integrou a Eurojust e escreveu um livro com o jornalista José Vegar onde explicam como o cibercrime evoluiu com a inteligência artificial, identifica as fraudes e ataques mais preocupantes e revela as tendências que vão marcar os próximos anos
Como se tornou magistrada judicial? Foi sempre um objetivo?
Sim, sempre foi um objetivo profissional. Quando concluí a universidade, dediquei-me à preparação para o exame de acesso ao Centro de Estudos Judiciários (CEJ), conseguindo ingressar logo na primeira tentativa. Foi o primeiro passo para uma carreira que me tem dado grande satisfação.
Em 2020, passou a fazer parte da Eurojust como especialista coordenadora de cibercrime. O que implicou esse papel?
Essa experiência na Eurojust foi extremamente gratificante a nível pessoal e profissional. O meu papel implicava, sobretudo, uma intensa coordenação internacional.
Em primeiro lugar, apoiava os Desks nacionais da Eurojust no suporte a casos internacionais de cibercrime. Em segundo lugar, era minha missão coordenar, com a minha equipa no Eurojust, as atividades da Rede Judicial Europeia de Cibercrime. Isto incluía, por exemplo, a organização ou participação em atividades de formação na área do cibercrime, a recolha de informação para publicações e a organização das duas reuniões anuais da Rede. Em suma, era um ponto de contacto e colaboração com peritos em cibercrime de toda a Europa e de outros países do mundo.
Quando e como surgiu o interesse mais profundo pelo cibercrime? Foi algo ligado ao trabalho ou um interesse pessoal?
O interesse por tecnologia e pelo desenvolvimento da sociedade digital foi algo que surgiu muito cedo, desde os jogos à programação na juventude. Mais tarde, na magistratura, esse interesse aprofundou-se com o foco na prova digital e no modus operandi do cibercrime. É uma área onde o direito e a tecnologia se cruzam de forma fundamental.
O que a levou a escrever este livro? E porquê agora?
O desafio foi-me proposto pelo José Vegar há cerca de um ano. Pareceu-me ser o momento certo para partilhar o conhecimento que adquiri na Eurojust e com a Rede Judicial Europeia de Cibercrime em Portugal. Acreditamos que existe ainda um grande desconhecimento sobre o tema e o modo como o cibercrime nos afeta a todos. O nosso objetivo principal é contribuir para divulgar informação útil, atualizada e acessível, para que o cidadão compreenda melhor a sociedade digital e possa proteger-se de ameaças cibernéticas.
Como foi a parceria com o José Vegar - como se dividiram os temas ou a responsabilidade na elaboração do conteúdo?
O processo foi muito colaborativo. Os temas foram inicialmente discutidos e acordados entre nós. Investigámos os temas em conjunto, e o José Vegar fazia-me uma espécie de entrevista sobre cada capítulo. De seguida, apresentava-me um texto que eu revia e editava, até chegarmos a uma versão final que agradasse a ambos.
No livro, fala de muitas “dimensões contemporâneas do cibercrime”: pode destacar algumas que considera mais urgentes ou alarmantes?
Todas as dimensões são alarmantes pelo seu impacto e urgentes, e é fundamental que aumentemos a nossa eficácia na resposta a todas elas. Contudo, destacaria as que podem afetar mais facilmente a vida de cada um de nós: a fraude online e a guerra cibernética.
A fraude online é a tipologia de crime facilitado por meios informáticos que, provavelmente, afeta mais pessoas, por vezes com consequências financeiras e emocionais devastadoras, como é o caso da chamada "fraude do amor", em que os burlões manipulam emocionalmente a vítima. A outra dimensão é a guerra cibernética ou guerra híbrida com uma componente cyber, em que atores estatais ou instrumentalizados por Estados atacam infraestruturas críticas como a rede elétrica, o sistema financeiro ou a distribuição de combustíveis. No clima geopolítico atual é uma ameaça que temos de encarar como real, capaz de paralisar um país, o que já sucedeu com consequências graves na Estónia em 2007 e na Ucrânia em 2017, como descrevemos no livro.
No livro diz que “o crime mudou e os criminosos adaptaram-se a uma nova realidade”. Como é que se explica essa nova realidade a quem não cresceu na era digital e tem de lidar com a “ousadia” de quem se sente “praticamente imbatível”?
Procurámos criar um livro que servisse tanto como recurso para juristas e profissionais de cibersegurança quanto ao modus operandi do cibercrime contemporâneo, mas que também fosse escrito numa linguagem acessível a qualquer pessoa. A chave não está em compreender conceitos técnicos de informática ou termos jurídicos. A nova realidade exige sobretudo, estar atento, obter informação em meios de comunicação credíveis, ser cauteloso com a partilha de dados pessoais e desconfiar de apelos urgentes ou ganhos fáceis. Quanto à perceção de que os criminosos são 'praticamente imbatíveis', esta não corresponde à realidade. No nosso livro relatamos vários sucessos das autoridades contra o cibercrime, provando que estes criminosos são, e podem ser, apanhados.
Em termos práticos, como define “cibercrime”? Acha que o cidadão comum compreende que pode ser alvo deste crime de forma fácil?
O cibercrime está juridicamente delimitado na Convenção de Budapeste do Conselho da Europa, cujos termos estão refletidos em todas as legislações europeias. De forma simples, podemos defini-lo em dois sentidos: num sentido mais restrito, é o crime que afeta exclusivamente sistemas informáticos, como o ransomware; e num sentido mais abrangente, é o crime que é cometido através do uso de sistemas informáticos, como a burla ou a pornografia de menores. Considero que ainda existe uma necessidade de alerta sobre a facilidade com que o cibercrime pode afetar cada um de nós, sobretudo no que diz respeito à fraude, tipificada na lei portuguesa sob os conceitos de burla, burla informática ou falsidade informática. Cada vez mais e de forma acelerada pelo uso de Inteligência Artificial, os meios de ataque estão cada vez mais sofisticados e capazes de iludir qualquer pessoa. Por isso, é fundamental redobrar os cuidados, estar atento, com particular atenção para os avisos das autoridades ou das instituições bancárias sobre este tema.
A desinformação e a manipulação da informação (fake news) também são “armas” no cibercrime moderno?
O tema da desinformação ou manipulação da informação não é um crime em si mesmo, mas pode efetivamente fazer parte da conduta criminosa quanto a outros crimes. Isto é especialmente relevante quando estamos a falar de crimes contra o Estado, como o terrorismo, ou os crimes de guerra e contra a humanidade. Basta pensar no exemplo particularmente chocante dos crimes cometidos contra a minoria Rohingya no Myanmar e Bangladesh, sob investigação no Tribunal Penal Internacional, em que a violência e o ódio foram amplificados através do uso do Facebook. Assim, é fácil ver a desinformação como uma parte importante por exemplo de um crime de terrorismo visando desestabilizar um Estado ou de um crime de genocídio contra um determinado grupo nacional ou étnico.
Quais são os maiores desafios legais e práticos para combater o cibercrime hoje, principalmente em Portugal? Como avalia a capacidade das nossas instituições para lidar com crimes digitais sofisticados?
Em termos de penalização de condutas, Portugal dispõe de leis adequadas, conformes às obrigações a que está internacionalmente obrigado. O desafio principal reside na área dos recursos processuais: falta-nos agilidade e meios, tanto mais que a atual Lei do Cibercrime é de 2009. O número de processos relacionados com o cibercrime ou que requerem a obtenção de prova digital cresceu exponencialmente, e há que dotar as autoridades de maior capacidade de ação para a recolha e exame de dados informáticos. No entanto, temos instituições muito capazes para lidar com o crime sofisticado e temos vindo a assistir, ainda que lentamente, a um maior recurso às capacidades que estão depositadas nas instituições internacionais como a Eurojust e a Europol, tanto mais que não é possível combater o cibercrime sem recurso à cooperação internacional.
No livro fala sobre “a ciberviolência e a partilha de imagens de abuso de menores”. Em Portugal, tem-se vindo cada vez mais a falar sobre casos de crianças que são assediadas em jogos e também de adultos que caem em conversas de “burlões do amor”. Como se lida com esses casos?
Nestes casos, a informação e o suporte familiar, a discussão e a partilha de experiências em família e na comunidade são cruciais. Este tipo de criminosos procura sempre isolar a vítima ou envergonhá-la para limitar a sua capacidade de reação. Cabe aos pais observar atentamente um menor que passa demasiado tempo online, que se isola de todos ou que, por exemplo, usa sempre mangas compridas para não mostrar cortes resultantes de automutilação. Cabe também a filhos e outros familiares conversar com os mais velhos e perceber se algum intruso lhes promete demasiado. A prevenção passa por uma vigilância atenta, mas carinhosa, e pela criação de um ambiente seguro onde a vítima não tenha vergonha de falar e possa partilhar o que se está a passar.
Pode partilhar um ou dois casos (reais) que a impressionaram e que inspiraram partes do livro?
O caso mais impressionante do cruzamento de cibercrime com consequências físicas graves é o da rede encriptada Encrochat. Tratava-se de uma rede de dispositivos móveis com alto grau de encriptação, vendidos por um elevado preço a vários grupos criminosos e que foi possível desmantelar. O caso é particularmente impressionante porque, quando foi possível intercetar a rede, percebeu-se que nela se falava sem pudor e com fotografias claras de todo o tipo de crimes, do tráfico ao homicídio. Na sequência do desmantelamento da rede, a polícia holandesa descobriu câmaras de tortura dentro de contentores em Roterdão, como não se imaginava existir na Europa. Este caso, originalmente francês, deu origem a casos em Portugal.
São muito impressionantes a análise dos casos que têm que ver com os grupos acelaracionistas online que descrevemos no final do livro. Trata-se de grupos dedicados à violência extrema, que atuam por exemplo em plataformas de jogos online, sobre jovens vulneráveis que acabam por ser coagidos a atos de violência contra si próprios, contra familiares ou até animais de estimação com o objetivo de estes serem visualizados e difundidos nessas comunidades.
Há “tipologias” de ataque representativas do que vai mudar nos próximos anos?
A Inteligência Artificial (IA) veio, sem dúvida, mudar as regras do jogo também no cibercrime. A IA serve como uma ferramenta de produtividade para o crime, permitindo não só baixar muito o nível de entrada no circuito criminal, mas também escalar as operações e baixar custos. Preocupa-me que a IA seja usada para criar ataques de engenharia social cada vez mais convincentes e em maior volume.
Qual foi o caso mais “inusitado” ou complexo com que se deparou na sua carreira relacionada com cibercrime?
O caso mais complexo e abrangente que tive o privilégio de apoiar enquanto estive na Eurojust, na verdade, não é um caso, mas uma ação que continua no tempo: a Operation End Game. Esta ação é destinada a quebrar a cadeia do cibercrime enquanto serviço e também aposta na prevenção.
Quais são as tendências que mais a preocupam para os próximos cinco a dez anos no domínio do cibercrime?
No domínio do cibercrime é importante ser prudente nas previsões. Dez anos é um horizonte impossível de prever, e mesmo cinco anos é um período extenso, dada a rapidez com que a tecnologia evolui. No entanto, as tendências que me causam maior preocupação e que merecem a nossa atenção incluem: o ransomware, que continuará a ser uma ameaça premente, com uma capacidade crescente de extorquir e de causar danos operacionais; o crescimento e a sofisticação dos APTs (Advanced Persistent Threats), sendo fundamental destacar que estas são ameaças altamente dirigidas e persistentes, frequentemente conduzidas por grupos organizados e, em muitos casos, apoiadas ou instrumentalizadas por Estados (state-sponsored); e o papel catalisador da Inteligência Artificial (IA), que atuará como uma ferramenta de produtividade para o crime, permitindo aos criminosos não só escalar as operações e reduzir custos, mas também desenvolver formas de engenharia social e deepfakes extremamente convincentes.
No livro fala de “guerra cibernética”. Como vão os Estados responder?
Não cabe ao sistema de justiça dar uma resposta à guerra cibernética, exceto quando esta se possa reconduzir a um crime de terrorismo. Os ataques são cada vez mais frequentes, em alguns países constantes, e tratados como incidentes de cibersegurança não reportados ao sistema de justiça. A resposta dos Estados, além de passar por reforçar as defesas, pode vir a ter de passar por desenvolver capacidades ofensivas para deter e responder a agressores estatais.
Que papel a inteligência artificial pode ter no aumento ou na mitigação do cibercrime?
A Inteligência Artificial tem um duplo papel no cibercrime. Por um lado, contribui para o aumento ao servir como uma ferramenta de produtividade para os criminosos, permitindo-lhes escalar ataques e reduzir custos. Por outro lado, a IA é uma ferramenta indispensável para a mitigação, pois os sistemas de segurança usam-na para detetar anomalias, analisar grandes volumes de dados e identificar padrões de ataques sofisticados em tempo real, mitigando assim os mesmos riscos que a IA potencia no ataque.
Que conselhos daria para que as autoridades se prepararem para essas novas ameaças?
O meu conselho principal foca-se na especialização. É humanamente impossível que todos sejamos peritos em cibercrime, dada a natureza muito especializada da matéria. As autoridades devem apostar em formação, concentração de conhecimento e em equipas multidisciplinares e numa cooperação internacional eficaz.
Se pudesse dar três conselhos práticos a qualquer pessoa para se proteger melhor no mundo digital, quais seriam?
Suspeitar de urgências e ofertas fáceis, desconfiando sempre de contactos que exijam uma ação imediata ou prometam ganhos exagerados. Em segundo lugar, verificar a fonte e a credibilidade, confirmando a identidade de quem contacta (seja um banco, uma autoridade ou um familiar) por um canal oficial alternativo. E por fim, proteger as credenciais, utilizando palavras-passe fortes e ativando a autenticação de dois fatores (2FA) nas contas mais importantes.
