Debate Brasilianas: Entendendo os crimes cometidos na Internet

“Hoje, se o cara usa um serviço que não guarda log, abre uma conta para fazer qualquer coisa uma única vez, e cometeu um ilícito, sem nunca mais voltar a usar a conta, você não acha esse cara”, diz o especialista em direito digital Marcel Leonardi.

Brasilianas

Autor: Bruno de Pierro
Fonte: Brasilianas

Durante o Debate Brasilianas: Censura na Internet (leia parte 1, aqui, e parte 2, aqui), o advogado Marcel Leonardi explicou, de maneira didática, como funciona o processo de investigação de crimes cometidos na Internet. Confira o trecho, em destaque, abaixo:

Marcel Leonardi – O modelo que vou descrever agora é o mesmo que se usa para investigar a coisa mais trivial do mundo, desde quando um xinga o outro de bobo no Orkut, até o crime mais horrendo, como uma orgia de pornografia infantil.

Imagina que, partindo do princípio de que o que o cara fez é ilícito e precisa ser punido, você precisa identificar quem é esse cara. Se você já sabe quem é a pessoa, porque ele postou no twitter dele, e está na cara que é ele mesmo, e ele admite, não tem o que falar, você processa diretamente, seja lá pelo que for, como aconteceu com a moça no caso dos nordestinos.

Mas vamos imaginar que é um cara que usou um pseudônimo e que fugiu dos limites. Como começar a investigação? Veja bem, estou descrevendo como é [o procedimento], não estou dizendo que deveria ser assim. A vítima vai e procura uma delegacia, ou um advogado, e diz que precisa remover um conteúdo ou, mesmo que não queira removê-lo, precisa descobrir quem é o cara para processá-lo. Isso, partindo do pressuposto que ela entendeu que quem é o culpado é o cara, e não o mediador. Assim, mediante ordem judicial, ela vai pedir que aquele intermediário, que controla aquela ferramenta (um Gmail, um Blogspot, por exemplo), forneça certos dados que, hoje, esse intermediário pode ou não ter. São os tais dos logs, as coisas mais polêmicas que existem, porque fora do limite eles realmente permitem coisas que não deveriam permitir.

Então eu sou a vítima e procuro o advogado, para entrar com ação, e obtenho uma liminar para retirar o conteúdo. Pergunta-se, por exemplo, “Google, você controla o Orkut. Diga-me quem criou a comunidade ‘Marcel Leonardi não sei o que”. Aí o Google vem e diz “olha, os dados que eu tenho aqui armazenados, porque é minha política armazená-los, são esses”. Aí ele vai dizer qual é a conta de e-mail que foi registrada, quais foram os endereços IP, que são aqueles números únicos que identificam uma conexão de Internet num determinado momento, que foram usadas, por exemplo, para alimentar e acessar a conta (não só do momento do ato ilícito).

Imagina que eu uso o Gmail para mandar um e-mail xingando você; se você investigar corretamente, não vai pedir só o IP do envio da mensagem, porque para enviar a mensagem eu posso, por exemplo, ter usado um serviço que não permite saber quem a usou. Mas você checou o e-mail da sua casa, esses acessos que você fez da sua casa – lembrando sempre que o IP não é estático, ele é dinâmico -, o fato é que o Google, ou outro intermediário que esteja envolvido, vai fornecer uma lista desses IPs que ele possui, em qualquer nome de usuário, e dados cadastrais que você forneceu no momento em que se contratou o serviço. Normalmente, em quase 99% dos casos, o que tem nos dados cadastrais? Zé das Couves, Rua dos Bobos, nº zero. Não se chega a ninguém, porque a pessoa não preencheu corretamente aquilo, ainda mais se já criou a conta com a intenção ruim.

Bem, o Google forneceu aquele monte de IP e informações, qual a próxima etapa? Precisamos cruzar esses IPs, as datas e os horários, com quem forneceu essas conexões todas, e pode ser mais de um provedor – já vi casos em que havia 12 envolvidos, pois o cara usou celular 3G de uma operadora, conexão da casa, do primo, enfim. Será pedido, para esses provedores de acesso, o seguinte: “provedores de acesso, conexão com a Internet, me digam quem são os assinantes titulares desses IPs, nesses dias, nessas horas”. O provedor de acesso, que também talvez tenha esses dados, os fornece e ainda assim não se chega ao verdadeiro responsável.

Chega-se nos computadores e conexões que foram usados por alguém que foi o responsável – sem entrar no mérito de que isso dá para ser mascarado, não vamos dificultar o cenário; vamos pensar num cenário em que podemos achar o culpado. Então vamos imaginar que o cara sempre acessou da própria casa, para fazer uma ilegalidade qualquer, o Google forneceu esses dados, cruzei os dados com os da Telefônica, que diz “é a conexão instalada em nome de fulano, na rua tal etc”. A próxima etapa que o Ministério Público pede costuma ser a busca e a apreensão do computador. Cinco e meia da manhã, vem aqueles agentes federais vestidos de ninja, tomar um café da manhã, e apreendem gentilmente seus equipamentos, para investigar. Isso acontece muito em caso de pornografia infantil.

Agora, isso é prova derradeira? É claro que não. Podem ter invadido o computador do cara; imagina um wi-fi aberto, o cara acessou minha conexão, está usando o endereço IP da minha casa. E tem casos em que essa sistemática toda não é conclusiva. Imagina que nesse rastreamento todo, você chegou numa lan house. Então a conexão que o cara usou todas as vezes para acessar aquela conta saiu de uma lan house. Ela é obrigada a cadastrar os clientes? Em São Paulo sim, tem uma lei que obriga a lan house guardar, por cinco anos, os dados. É um absurdo, pois os grandes provedores, sem entrar no mérito se tem ou não que cadastrar – não tem lei que os obrigue a cadastrar – mas as lan houses, que são o elo mais fraco dessa cadeia toda, devem guardar por cinco anos. Chega-se na lan house, ela dirá que realmente tem o cadastro. O dono da lan house dirá que o cara usou o IP tal, na hora tal no dia tal, “bom, eu tenho trinta máquinas na minha lan house, todas elas configuradas via NAT, a configuração de rede comum, e eu não sei de qual máquina partiu, e nesse dia e nessa hora, minhas trinta máquinas estavam ocupadas”. São trinta nomes para os investigadores se divertirem.

Esses dados – deveria ter uma obrigação de registrar, ou não? É um dos pontos mais polêmicos, pois preservar dados por tempo demais, cria-se uma situação absurda, que além de encarecer isso para o provedor, guarda coisas que o usuário fez há cinco anos, e que pode ser remexida. Agora, se não tiver log nenhum, e eu tenho certeza que divirjo do Sérgio Amadeu nessa opinião, você não tem o ponto de partida para começar as investigações.

Em que cenários você poderia fazer investigação sem log? Imagina uma coisa que está acontecendo reiteradas vezes. Vira-se para o provedor e diz: “a partir de agora, guarde logs, pois vamos investigar essa conduta aqui do cara”. Aí o provedor começa a guardar a partir de então, e, com base no que ele guardou, e só a partir de então, é que você investiga alguma coisa. O que ele fez antes você investiga? Não. Tanto é que hoje, se o cara usa um serviço que não guarda log, abre uma conta para fazer qualquer coisa uma única vez, e cometeu um ilícito, sem nunca mais voltar a usar a conta, você não acha esse cara. Como você também não acha o ladrão que está na rua, mexe no seu carro e desaparece. Então, precisamos encontrar um ponto de equilíbrio. Pelo projeto do [Senador Eduardo] Azeredo, se não me falha a memória, você tem o prazo de três anos para guardar os logs. O marco civil deixou isso híbrido: ele quer que quem fornece o acesso guarde por no máximo 6 meses, e ele faculta a todos os outros intermediários guardar ou não o log. E isso foi uma posição criticada, inclusive por mim, pois o sistema deve ser coerente – ou não guarda nada, que é a visão que alguns tem, ou se guarda por um tempo mínimo, valendo para todo mundo.

Sérgio Amadeu – A rede é baseada em inúmeros IPs. Os grandes criminosos e as grandes redes, depois que começaram a cair pedófilos, pois é muito fácil de você identificar, principalmente quando os pedófilos não conheciam a dinâmica. Houve várias operações, inclusive da Interpol, que pegou muita gente. Só que os pedófilos sabem que a rede é uma rede de controle.