David Silva Ramalho é advogado e especialista em cibercrime. Nos últimos anos, tem dedicado algum do seu tempo a estudar a investigação à rede de comunicações encriptada desmantelada pelas autoridades, a Sky ECC. Neste processo, que juntou vários países europeus, as autoridades conseguiram aceder a mil milhões de mensagens trocadas entre organizações criminais. Em entrevista à CNN Portugal, o advogado explicou como os criminosos atuavam e revelou que foram enviadas mais de 500 comunicações para Portugal
A Sky ECC era uma rede de comunicação, criada por uma empresa canadiana, com telemóveis encriptados, um servidor próprio e que garantia confidencialidade total aos seus utilizadores, que pagavam bom dinheiro por isso. A dada altura, algumas polícias europeias percebem que quase todos os telefones apreendidos a traficantes pertenciam a esta rede ou outras idênticas, como a Encrochat.
O desbloqueio da rede encriptada Sky ECC permitiu “varrer” milhões de mensagem trocadas entre grupos criminosos de todo o mundo, desencadeando centenas de operações em diferentes países. Portugal não foi exceção e recebeu mais de 500 informações. O maior narcotraficante português, "Xuxas", e o cantor Nininho Vaz Maia são, por agora, os nomes mais conhecidos nas comunicações desencriptadas. Mas não são os únicos.
Terá sido em 2017/2018 que as autoridades começaram a perceber que sempre que detinham suspeitos, principalmente ligados ao tráfico de droga, estes tinham na sua posse telefones encriptados, que não faziam chamadas, mas recebiam mensagens. A Bélgica e os Países Baixos foram os responsáveis pelo arranque da investigação, que contou ainda com a colaboração de outros países, como França.
O facto de só encontrarem pessoas suspeitas de ligações ao mundo crime com estes telemóveis levou mesmo a polícia belga a fazer um anúncio na televisão, quando divulgou publicamente o resultado da investigação em março de 2021. Apelaram a quem tivesse um telefone Sky ECC e o usasse “para fins legítimos” para dirigir-se às autoridades se quisesse garantir a privacidade dos seus dados. Não foi encontrado ninguém que os usasse de forma legal.
A informação recolhida e depois desencriptada permitiu deter milhares de pessoas em todo o mundo. Foram ainda apreendidas toneladas de droga e milhões de euros ficaram "congelados" nas mãos das autoridades. Depois da investigação ao EncroChat, cujos servidores foram apreendidos primeiro, muitos criminosos migraram para a rede Sky ECC, sem saberem que as autoridades também já estavam no encalce desta empresa.
No final de 2024, a justiça belga condenou mais de 100 pessoas num megaprocesso ligado à investigação e desmantelamento da Sky ECC. Eram suspeitos de tráfico internacional de droga e, entre os arguidos, havia várias nacionalidades no banco dos réus: belgas, albaneses, franceses, colombianos e argelinos. Este foi o maior processo de sempre, ligado ao tráfico de droga, julgado no país.
David Silva Ramalho tem-se dedicado ao estudo desta investigação internacional, que acabou por ter também ramificações em Portugal. Em entrevista exclusiva à CNN Portugal revela que foram recolhidas mais de mil milhões de mensagens, que havia vários utilizadores em Portugal e que o nosso país recebeu mais de "500 comunicações" das congéneres internacionais. Explica ainda as dúvidas, que têm sido colocadas, sobre a legalidade de algumas provas desta investigação, que, no seu entender, nunca teria acontecido em Portugal devido aos limites legais.
Como é que as autoridades chegaram à Sky ECC?
Perceberam que estas pessoas tinham telemóveis que funcionavam de uma maneira específica, com os quais não conseguiam fazer grande coisa. Nos processos de tráfico, geralmente, apreende-se o telefone e depois percebe-se o que é que está lá dentro.
Foram encontrados dois tipos de aparelhos. O primeiro tipo de Sky era só hardware, mesmo a câmara tinha sido retirada. Depois o novo Sky passou a ser software. Portanto, aquilo funcionava com um software Blackberry que estava montado em cima do sistema iOS. Estava todo configurado com software para evitar deteção e era altamente confidencial.
Também tinha um cartão SIM, mas quando as autoridades contactavam as operadoras de comunicações o que sabiam é que o cliente era apenas a Sky Global, no Canadá. Depois contactavam a Sky e a Sky Global e estas não tinham informação sobre a quem é que tinham atribuído aquele cartão.
Isso levantou suspeitas?
Sim. Percebeu-se que não era muito difícil encontrar um vendedor. O primeiro contacto era tipicamente online e depois o vendedor trazia o telemóvel. Vinha com uma password que podia eliminar todo o conteúdo do telemóvel, inclusive à distância.
O cartão SIM era só de dados, não era para fazer chamadas, não era um número de telefone para onde se pudesse ligar. Mas dava para enviar e receber mensagens. Só que não eram SMS normais, se fossem era mais fácil aceder. A Sky tinha o seu próprio servidor APN. Não tenho ideia exatamente onde é que estava, creio que seria em França. O APN é um Access Point Name, uma configuração que permite ao dispositivo móvel ligar-se à internet. Eles tinham uma APN privada e, portanto, não dava para fazer escutas.
O telemóvel era caro, era seguro, era difícil de crakar. Tinha funcionalidades limitadas, apenas a aplicação de mensagens da Sky ECC. Era comercializado a nível global e tinha um esquema de venda piramidal.
Quantos aparelhos Sky existem no mundo?
Havia, no mundo, creio que 70 mil Sky ECC ligados. Só na Bélgica havia 30 mil, nos Países Baixos havia à volta de 12 mil. No entanto, um utilizador podia ter vários aparelhos Sky. Em 2020 seriam 67 mil utilizadores ativos.
Tudo era suspeito. O preço do telemóvel era elevado e a esse preço ainda acrescia um valor que oscilava entre os 1400 e os 2500 euros por seis meses de utilização. Isto era muito caro para quem está preocupado apenas com a sua privacidade. Essa foi a apreciação das autoridades.
E quais foram os primeiros passos da investigação?
Mesmo sem conseguirem fazer escutas ou ter acesso a informação, as autoridades conseguiram fazer aquilo a que se chama heat maps. Ou seja, mapas de calor, para perceber onde os aparelhos estão a ser usados. Não conseguem intercetar, mas conseguem ver onde estão a ser usados.
E percebem que estão a ser usados em portos, por exemplo, no Porto de Antuérpia. Eram muito usados durante a noite. Depois percebem que vai para um sítio que está associado a pessoas que traficam droga e, por fim, vai para uma zona mais fina. Portanto temos um triângulo neste mapa de calor, com telemóveis ativados, a usar aquela APN. O porto, uma zona onde sabem que existem traficantes, e depois a zona, se calhar, mais fina, que é onde estão os consumidores.
Depois dos 'mapas de calor', o que fizeram as autoridades a seguir?
Sabe-se que houve uma infiltração nos dispositivos para que pudessem recolher provas.
Há partes da investigação que não são públicas, o que tem levantado algumas dúvidas em várias jurisdições. Há tribunais que dizem que para sabermos da legalidade temos de saber como é que foi feita a obtenção de prova. E a informação não é 100% esclarecedora em todos os pontos.
Sabe-se quantas mensagens foram recolhidas pelas autoridades?
Durante meses, as autoridades recolheram cerca de mil milhões de mensagens que estavam encriptadas. Até que as conseguiram desencriptar. Em seguida foi feita uma triagem e feitas milhares de comunicações para outros países, Portugal incluído. Foram cerca de 500 notificações.
Durante um período curto da investigação foi possível recolher dados em tempo real. E, portanto, nessa situação, há um dever de intervenção rápida das autoridades. Mas é um período bastante curto da operação Sky. A outra informação recolhida, que estava encriptada, era a mais relevante.
Alegados crimes em Portugal
A partilha de informação entre países é normal e isso aconteceu aqui...
Sim. Se uma autoridade, e neste caso, a Bélgica, a França e os Países Baixos, recolhem informação na investigação que respeita a outro país podem espontaneamente comunicá-la. Mas também podem impor condições ao uso daquela informação. E essas condições podem ser, por exemplo, ‘atenção, só usas isto publicamente a partir de uma certa data, que é uma investigação em curso’. E houve várias comunicações a várias entidades. Provas que foram sendo questionadas na justiça, mas já existem acórdãos – favoráveis ao uso da prova - nos Países Baixos, Itália, Noruega, Alemanha, França e Bélgica. Há também um caso recente em Montenegro.
Ou seja, a Justiça tem aceite estas provas?
Há problemas graves que têm sido apresentados em vários tribunais europeus, mas a tendência tem sido para admitir a prova. Em todos os processos a prova foi admitida. Houve um caso em Itália que levantou mais problemas, mas depois acabou por ser aceite.
Não se pode esquecer, por exemplo, o direito de nós, enquanto advogados, acedermos à informação que está no processo. As objeções que têm sido colocadas são várias, uma delas é a do acesso ao processo. E isto é difícil. Quando se interceta tantas mensagens, será que a defesa tem direito a aceder a tudo? Porque a regra é que a defesa tem direito a aceder a tudo que consta do processo. Mas se a prova foi apreendida em massa, será que eu tenho direito a aceder a mil milhões de mensagens?
Depois, enfim, sei que isto é um problema menos apelativo mediaticamente, mas quando se faz uma interceção de comunicações, ou seja, uma escuta, tem de se fazer um juízo individualizado de proporcionalidade. Aqui não é essa a questão, é 'eu vou ingerir na privacidade de toda a gente que usar este serviço, eu nem sei quem são, mas vou escutá-los a todos, vou intercetar tudo'. Não sabiam o conteúdo que estavam a intercetar, só souberam mais tarde. E consta que terão utilizado inteligência artificial para fazer triagem de algumas mensagens.
Mas a informação enviada para os países já está limitada...
Eles não mandam tudo, mas isso é relativamente frequente em grandes investigações. Acontece muito nos casos de pornografia de menores, ou material de abuso sexual de menores, que é a terminologia que agora se usa. Por exemplo, o NCMEC, o National Center for Missing and Exploited Children, recebe várias comunicações de vários casos de abuso sexual e comunica às autoridades aqueles que parecem ser daquele país. Por exemplo, se vê uma marca de um detergente português numa fotografia envia para Portugal.
Já acontece este distribuir de cartas por parte das autoridades, para não encher a investigação. Sempre que se deita abaixo um mercado de droga na dark web e se apreende um servidor, vai-se ver onde é que estão as moradas de portugueses e envia-se para Portugal. Isto é relativamente frequente.
Mas aqui há outro problema, que é a obtenção de prova noutro Estado, triada para outro Estado e enviada já filtrada, sem que nós saibamos, em detalhe, o meio de obtenção de prova utilizado.
Em Portugal teria sido possível fazer uma investigação destas?
Em Portugal isto não teria acontecido. Portugal tem um problema grave, que é ninguém saber se é possível, legalmente, infetar telemóveis ou não. Não está clarificado na lei. Há uns que dizem que sim, há uns que dizem que não.
Há quem diga que está no artigo 19, n.º 2, da lei do cibercrime, outros dizem que é o resultado da soma de vários meios de obtenção de prova. E isto cria uma grande incerteza. Toda a gente sabe que isto é utilizado. Não há grandes dúvidas. Mas nunca se vê num processo isto referido. Eu nunca vi, pelo menos.
Isto só pode ser possível com a autorização do juiz. Se olharmos para a legislação, isto não resulta da lei. E isso é um problema gravíssimo no nosso ordenamento jurídico, que eu acho que vai ser suscitado por este caso. Alguém vai perguntar: 'se isto fosse em Portugal, poderia ter sido feito?'.
Porque é que estamos a admitir prova produzida nestes termos? É aquela ideia de que se foi produzida legalmente noutro Estado, pode ser valorada aqui. Mas nós nem sabemos inteiramente como é que ela foi produzida. Não temos toda a informação do nosso lado. Se eu não sei exatamente como é que a prova foi recolhida, então eu não consigo garantir que a prova está bem recolhida.
Mas se esta investigação nunca poderia ser feita em Portugal como se resolve a questão?
Eu entendo que aquilo não podia ser feito em Portugal. Se me perguntar se deveria poder ser feito, admito que sim, se a nossa lei permitisse. Mas isso requeria a alteração da lei. Não temos uma lei que permita fazer aquela operação. Por exemplo, na Alemanha, está prevista a escuta com base na interceção na fonte. A interceção na fonte é o que infeta um telemóvel.
Há quem diga que é uma interceção, mas não é. Isto é hacking de um telemóvel por parte da polícia e apreensão e interceção das mensagens. Porquê? Porque não dá para intercetar, por exemplo, o WhatsApp. No trajeto da comunicação não se pode intercetar o WhatsApp. Como é que se faz? Infeta-se o telemóvel e apanha-se a mensagem antes de ser encriptada no próprio telemóvel. Era isto que acontecia também, segundo consta, no Sky ECC. Infeção na fonte e depois envio direto para as autoridades dessa mensagem. Agora, nós não temos uma base legal expressa para fazê-lo.
É importante que os nossos tribunais façam uma avaliação cuidada sobre a validade da prova obtida através do Sky ECC e a possibilidade de valorarmos prova sem conhecermos a 100% como é que ela foi recolhida. Prescindirmos de fazer essa verificação porque a prova foi recolhida noutro Estado, pode colocar problemas e alguma desigualdade entre pessoas que são investigadas cá e que são investigadas lá.
Mas as redes criminosas não têm fronteiras.
São os problemas da transnacionalidade e dos crimes que atravessam fronteiras. São muitos crimes. Acho que a investigação criminal, em particular a investigação de grandes realidades criminosas, como aquelas que existem agora na internet, têm de se adaptar para uma investigação criminal em massa. Isto vai ter de acontecer mais cedo ou mais tarde. Já começou a acontecer com as infiltrações em mercados de droga, com as apreensões de servidores em bloco. É normal que assim seja, o que torna ainda mais urgente a revisão da nossa legislação.
Agora, a grande inovação do Sky ECC é a possibilidade de se apreenderem comunicações que estão em curso, conversas acabadas de ter, volumes enormes, dezenas de milhares de pessoas apanhadas. E o Sky ECC vem a seguir ao Encrochat. O processo Sky ECC começa em 2018. Em março de 2021 eles tornam isto público e há uma operação gigante na Bélgica onde várias pessoas são detidas. Mas há casos que continuam a nascer daqui.
