Hackear grupo pode ser crime: lições do caso "Mulheres Contra Bolsonaro"

O grupo do Facebook teve a sua foto de capa trocada depois da invasão.

O episódio da invasão de um grupo no Facebook formado por mulheres com o objetivo de protestar contra as ideias do candidato à Presidência Jair Bolsonaro foi notícia na imprensa. Atacando contas de integrantes que também eram administradoras do grupo, foi possível alterar o nome do movimento de "Mulheres Contra Bolsonaro" para "Mulheres Com Bolsonaro". Pouco tempo depois do ocorrido (e com a confusão já instalada), o Facebook reconheceu a anomalia e restituiu o grupo às suas administradoras originais.

Esse não foi o primeiro e não será o último ataque a páginas e grupos em redes sociais durante o processo eleitoral. Até por isso mesmo vale dar um passo atrás e questionar o que aprendemos com o episódio da invasão do Grupo de Mulheres Contra Bolsonaro. 

1. A invasão de grupo em rede social pode configurar crime. Muita gente pode achar que o episódio não passou de uma brincadeira, ou no máximo algo que seria próprio do jogo eleitoral, mas vale avisar que, a depender das investigações policiais, a invasão do Grupo de Mulheres Contra Bolsonaro pode configurar crime sim.

Em 2012 o Código Penal foi alterado pela Lei nº 12.737 (conhecida como "Lei Carolina Dieckmann") para prever como crime a invasão de dispositivo informático alheio, através de violação de mecanismo de segurança, para obter, adulterar ou destruir dados. O texto do novo artigo 154-A do Código Penal foi motivado pelo episódio da atriz que teve fotos íntimas vazadas após ter o seu computador pessoal acessado de forma ilícita.

Isso é o que prevê o Código Penal:

"Invasão de dispositivo informático

Art. 154-A.  Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa."

A pena para é pequena, mas não se pode descartar também a possibilidade de enquadramento da conduta em outros dispositivos, já que as administradoras do grupo foram também ameaçadas com a exposição de seus dados pessoais. Nas investigações vai ser importante comprovar que (i) ocorreu invasão a dispositivo informático das vítimas; (ii) com violação indevida de mecanismo de segurança, como senhas. por exemplo (uma das vítimas disse que teve que trocar de senha quatro vezes durante o ataque); (iii) a finalidade do atacante era obter, adulterar ou destruir dados ou informações (o que parece estar comprovado com a alteração do nome e propósito do grupo) ou instalar vulnerabilidade para obter vantagem ilícita; e (iv) o acesso não foi autorizado (essa parte do artigo existe para que ataques autorizados como testes de segurança não virem crimes).

Além da sanção penal, uma vez identificados os autores da ação, eles respondem também pelos danos causados na esfera civil, podendo as vitimas ingressar com ações indenizatórias por danos materiais e morais sofridos com o episódio.

2. É importante que os provedores possam agir para restaurar os grupos e remover conteúdos. Em outro recente episódio que ganhou repercussão, o Movimento Brasil Livre acusou o Facebook de censura por remover uma série de páginas ligadas ao grupo que estariam envolvidas na amplificação artificial de conteúdos, além de serem geridas, em alguns casos, a partir de contas inautênticas. Já tivemos oportunidade de comentar sobre o caso aqui no UOL Tecnologia.

Mas o que une o caso do MBL com o episódio do Grupo de Mulheres Contra Bolsonaro? Primeiro ele revela que é importante que os provedores possam atuar na gestão da sua plataforma para corrigir situações em que existam violações de seus termos de uso (ou "padrões da comunidade"). Não é censura, a princípio, permitir que as empresas possam traçar as regras de funcionamento de suas plataformas e aplicá-las. Assim como é salutar que os provedores possam agir para restaurar páginas ou grupos invadidos, removendo o conteúdo que foi indevidamente incluído pelos atacantes.

Em segundo lugar, vale dizer que nada disso ofende o Marco Civil da Internet (Lei nº 12.965/2014, "MCI"). Em seu artigo 19, o MCI determina que os provedores de aplicações (como redes sociais e sites de vídeo) apenas serão responsáveis pelos conteúdos postados por seus usuários caso eles não removam esses materiais após ordem judicial que afirme a sua ilicitude. Em nenhum lugar esse dispositivo determina que os provedores apenas podem remover conteúdos depois de uma decisão judicial. Seria difícil imaginar que todo e qualquer conteúdo na internet brasileira tivesse que esperar um pronunciamento de um juiz para ser derrubado.

Está dentro da zona de liberdade das empresas atuar para corrigir situações como essas. A lei não a obriga a tanto, embora existam exceções, como materiais que envolvam cenas de sexo e nudez não consentidas e conteúdos que retratem exploração sexual de crianças e adolescentes.

Isso não quer dizer que os provedores não podem ser responsabilizados caso acabem errando nessa atuação para gerir a sua plataforma. Remoções indevidas podem gerar danos indenizáveis. Da mesma forma, cabe aos provedores serem o mais transparente possível, cumprindo com o necessário dever de informar a todos os envolvidos (dentro dos limites da segurança, é claro), o que motivou a indisponibilização de conteúdos.

Sendo assim, parece paradoxal aplaudir a restituição do Grupo de Mulheres Contra Bolsonaro e, ao mesmo tempo, condenar a remoção de páginas ligadas ao MBL. Ou bem os provedores podem atuar na gestão de suas plataformas antes de qualquer ordem judicial (e respondem em caso de erros e danos causados pelo seu comportamento) – o que parece estar em sintonia com o que prevê o Marco Civil da Internet – ou bem as empresas estão amarradas e, mesmo em casos como o do Grupo de Mulheres Contra Bolsonaro, teriam que esperar que uma das vítimas ingressasse com ação judicial para restituir o grupo e remover os conteúdos indevidamente postados por terceiros.

3. Um print vale mais do que mil palavras. Assim que a invasão do grupo foi realizada, o atacante removeu as moderadores originais e começou a postar mensagens ofensivas às integrantes do grupo. Ao alterar o nome do movimento para "Mulheres Com Bolsonaro", inclusive com a modificação da foto de capa, que então passou a enaltecer o candidato, bastou um print da tela para que começasse a circular na internet a informação de que aquele grupo, que reunia milhares de mulheres, na verdade era de apoio ao candidato.

Muita gente acreditou no que viu. Em tempos de consumo cada vez mais passivo de informações, foi preciso que o algoritmo das redes sociais entregasse a explicação do caso no feed de noticias ou que alguém mandasse uma mensagem no WhatsApp explicando o ocorrido (devidamente coberto pelas agências de checagem de fatos).

Com a atenção cada vez mais curta, não faltou quem só viu o print do grupo alterado. Ou ainda quem, dentro da sua bolha, não teve acesso ao que realmente ocorreu. Isso é um prato cheio para as fake news.

4. A notícia falsa da notícia falsa. Existem vários grupos de mulheres no Facebook em apoio à candidatura de Bolsonaro. Não é disso que se trata aqui. O ponto que interessa investigar é como a invasão daquele grupo em especial serviu de trampolim para uma espiral de desinformação. O print do grupo alterado foi amplamente circulado nas redes sociais, dando a entender que aquele movimento era em apoio ao presidenciável. Isso era uma notícia falsa.

Uma vez desarticulado o ataque, começaram a aparecer outras versões para desprestigiar a iniciativa. O Deputado Eduardo Bolsonaro tuitou: "Uma página qualquer do Facebook tinha 1 milhão de seguidores quando foi vendida para a esquerda. Então, sem qualquer vergonha, mudaram o nome para 'Mulheres Contra Bolsonaro' e saiu alardeando por ai que havia uma onda de mulheres contra o presidenciável." O General Hamilton Mourão, vice de Bolsonaro, também reforçou a tese de que o grupo "Mulheres Contra Bolsonaro" era fake.

Correu na rede a informação de que o grupo originalmente teria sido uma página de humor (com a personagem "Gina Indelicada") que, uma vez se tornando muito popular, teve seu título alterado para fins eleitorais. Foi apurado que a informação não era verdadeira. O administrador da página de humor desmentiu e o próprio Facebook não apontava qualquer informação que pudesse comprovar essa tese. Era mais uma notícia falsa espalhada por figuras públicas e seus seguidores.

5. O que pensam os outros candidatos sobre o episódio? Perguntar não ofende. A candidata Marina Silva fez uma declaração sobre o episódio, condenando o ataque e dizendo que ela, na campanha de 2014, também teria sido alvo de manobras semelhantes. Faltou uma mobilização maior dos demais candidatos sobre o incidente, com falas públicas de todos eles(as) criticando o ataque.

A ausência de repercussão do tema na pauta imediata dos candidatos revela algo interessante: quando a internet ajuda nas suas próprias campanhas ela é o futuro, mas quando a rede é usada para atacar os outros (e em especial nesse caso que envolve um grupo de mulheres) parece que os candidatos têm dificuldade de articular com rapidez sobre o fato. Seria desconhecimento sobre questões de cibersegurança? Ou então a percepção de que como o fato se deu "apenas na internet" ele não era grave o suficiente?

Fico com as duas respostas, mas a segunda parece ser bem mais interessante. Se um grupo de mulheres tivesse sido fisicamente atacado na rua enquanto se manifestava, não tenha dúvidas de que o assunto ganharia uma repercussão muito maior. Como foi só na internet, deixa pra lá.

Essa importância seletiva da internet na cabeça dos candidatos é fenômeno que chama atenção e mostra como, em tempos de fake news e ataques cibernéticos, estamos ainda muito longe de compreender como a rede está mudando a nossa forma de fazer e pensar a política.