Ataques informáticos como uso da força no direito internacional

«A Guerra é a continuação da política por outros meios” dizia-nos Karl von Clausewitz, no século XIX. E, de facto, o paradigma do século XIX era de que a guerra era uma forma legitima e natural das nações demonstrarem poder perante os outros. Contudo, se a guerra era a principal forma de demonstrar poder, no século XIX, deixou de o ser, nos dias de hoje. Com a Guerra Fria, no século passado, criou-se um novo paradigma à competição dos países, substituindo os desenvolvimentos militares, pelos científicos. No entanto, esta substituição não veio erradicar a guerra. E os desenvolvimentos científicos tornam os problemas mais complexos.


A luta e a competição não é uma criação do Estado. Apesar disto, os Estados tentam criar um ambiente de segurança e paz. Isto reflete-se no Direito Internacional. Seja a Paz de Vestafália, que veio acabar com a Guerra dos trinta anos, sejam as várias tentativas de legislar sobre a guerra (Conferência de Paz de Haia; Sociedade das Nações, etc).


Atualmente, a Carta das Nações Unidas vem proibir qualquer uso de força, nas relações internacionais. Contudo, isto não impede que exista guerra, veja-se o exemplo dos conflitos russo-checheno; russo-georgiano; entre o Tajiquistão e Quirguistão; entre outros.



Quando nos viramos para a jusrisprudência do Tribunal Internacional de Justiça (TIJ), para entender melhor o artigo na prática, esta não oferece a ajuda que se consideraria dar, visto o número de conflitos internacionais. Isto acontece, porque, apesar de existirem vários casos que são levados ao TIJ, este concluiu que ou não tem jurisdição para julgar sobre o caso ou que, tendo jurisdição, a Carta das Nações Unidas não se aplica, como é o caso Military and Paramilitary activities in and agaisnt Nicaragua.


Nas últimas décadas, as pessoas escolheram o ciberespaço como o principal palco de comunicações planetárias. Isto levanta problemas de segurança como nunca antes.


Nos anos 90, os Estados começaram a virar-se para o desenvolvimento das suas capacidades informáticas. Contudo, o Direito foi das últimas áreas a seguir este exemplo. Só em 1999 é que se promoveu uma conferência sobre direito internacional e ciberoperações. Sendo que, em 2001, a atenção da comunidade jurídica internacional foi desviada para outros temas.


Em 2008, o problema das ciberoperações e da segurança informática ressurgiu, com os ataques cibernéticos à Estónia. Aliás, “o ataque fez a Estónia perceber que precisava começar a tratar as ameaças cibernéticas da mesma forma que os ataques físicos”.


Deste modo, a Organização do Tratado do Atlântico Norte (OTAN), em 2009, convidou um grupo de 20 jusinternacioanlistas a explorar o tema do jus ad bellum no ciberespaço. As conclusões deste grupo foram, então, trasnpostas para o Manual de Tallin (que é um documento académico, sem caráter vinculativo).



O primeiro problema que este tópico levanta refere-se à atribuição de responsabilidade a um país. Ora, a Carta das Nações Unidas, no artigo 2º é claro: “Os membros deverão abster-se nas suas relações internacionais (…)”. Ou seja, a proibição do uso da força (e as consequências que dela emanam) aplicar-se-á, claro, a países. Os casos mais evidentes serão simples: se for feito por um órgão do Estado, esse Estado será responsabilizado; quando um ataque é feito por um individuo, um Estado será responsabilizado se o agente estiver a agir “sob instrução ou sob controlo do Estado”.


O segundo problema será qualificar que ataques informáticos se qualificam como uso da força. O Direito Internacional não oferece nenhuma definição de uso da força, mas a equipa de jusinterancionalistas concluiu que “ciber-operações psicológicas não-destrutivas, com intenção única de fragilizar a confiança na economia” ou “financiar grupos de hackers” não se qualificaria como uso da força (usando as negociações da criação da Carta, em 1945, como base).


A jurisprudência do TIJ caracterizou armar e treinar como uma violação do princípio da proibição do uso da força. Aplicando aos ataques informáticos, o Professor Michael Schmitt diz que “providenciar um grupo rebelde com malware destrutivo ou o treino necessário para utilizá-lo qualificar-se-ia como uso da força”.


A Carta das Nações Unidas prevê 2 formas de defender um pais, no plano internacional. O primeiro é o previsto no artigo 39º da Carta: “O Conselho de Segurança determinará a existência de qualquer ameaça à paz, rutura da paz ou ato de agressão e fará recomendações ou decidirá que medidas deverão ser tomadas de acordo com os artigos 41º e 42º, a fim de manter ou restabelecer a paz e a segurança internacionais”.



Esta previsão é particularmente importante para os ataques informáticos, porque enquanto o artigo 2º, nº 4 se limita a ataques entre países, o artigo 39º não apresenta essa limitação. Aliás, o Conselho de segurança não só pode determinar a disrupção da paz internacional caso a caso, como pode qualificar um tipo especifico de ataque contra Estados como disrupção da paz internacional (de forma semelhante, à resolução 1373, de 28 de Setembro de 2001, com o terrorismo transnacional).


A segunda previsão é a legitima defesa, prevista no artigo 51º. O problema com esta previsão é que limita a legitima defesa à reposta a “ataques armados”. O que levanta a questão: quando é que um ataque informático se equipara a um ataque armado? O Manual de Tallin propõe que caso um ataque informático resulte em morte ou danos significativos, danifique ou destrua propriedade cumpriria o requisito. Também propõe que o ciber-roubo, ou ciberoperações que envolvam breves ou periódicas interrupções de serviços não-essenciais não entraria no critério.


A capacidade de argumentar a legitima defesa contra agentes não-estatais parece ser o paradigma atual do uso da força, desde o 11 de Setembro, apesar de no caso Nicaragua, o TIJ ter-se pronunciado contra essa capacidade.


A legitima defesa só poderá ser utilizada para mitigar um ataque em curso. Ou seja, após o Estado-vítima saber quem foi o autor do ataque, onde (e, talvez, porquê), poderá defender-se, se o ataque ainda estiver em curso. Isto, porque, ignorando este limite temporal da legitima defesa (ser “imediato”), facilmente se tornaria numa aceitação legal da retaliação do Estado-vítima.


Conclui-se, portanto, que não existe uma lacuna no ordenamento internacional. Como diz o Dr. Alexandre Guerreiro “é possível constatar que a ciberguerra não se desenvolve num quadro de anarquia absoluta”. A continuação do crescimento tecnológico exponencial vai requerer ao direito internacional um acompanhamento atento, sob pena das normas atuais se tornarem obsoletos e serem ineficazes na prossecução da paz e segurança internacional futura.


Fontes:

  • Clausewitz, Karl von, Da Guerra, Clássica;

  • Carta das Nações Unidas;

  • Klabbers, Jan, International Law, 2ª edição, Cambridge University Press, 2017;

  • https://www.icj-cij.org/en/case/70/judgments ;

  • Kottasová, Ivana, Como as ameaças russas fizeram da Estónida um país especialista em cibersegurança, 2021;

  • Schmitt, Michael N., The use of cyber force and international Law in The Oxford Handbook of The Use of force in international Law, editado por Marc Weller, Oxford University Press, 2015;

  • Case concerning militar and paramilitar activities in and against Nicaragua (Nicaragua vs United States of America);

  • Manual de Tallin.