Na EUROPA decorrem atualmente diversas operações policiais e judiciárias que se valem de escutas telefónicas efetuadas por um país, que em muitos casos não é o País que efetivamente tramita o processo judicial. A exemplo disso, na França houve a intervenção dos terminais/comunicações que fizeram uso do sistema ENCROCHAT e, nesta mesma esteira, as autoridades americanas intervieram no sistema ANOM.
O sistema Anom, embora sua função seja a mesma, ao contrário do EncroChat, foi criado pelas próprias autoridades americanas para processar os crimes de quem usou esse sistema, perseguindo os distribuidores. É um crime provocado/preparado e também acompanhado de uma investigação generalizada e prospectiva.
O sistema SKY ECC foi infiltrado pela Gendarmerie francesa, polícia holandesa e pela Agencia Nacional de Crimes do Reino Unido (NCA), e a polícia belga e holandesa conseguiram quebrar a criptografia dos usuários. Nesse caso, a empresa SKY ECC afirma que as autoridades de polícia da Bélgica e da Holanda invadiram o software de comunicação de forma ilegal e abusiva, pois a empresa não autorizou ou cooperou com nenhuma autoridade investigadora ou pessoas envolvidas na distribuição de falso aplicativo de pishing.
As três intervenções representam uma clara violação das normas constitucionais e substantivas acima expostas. Portanto, a declaração de nulidade é necessária e suas consequências são a nulidade de toda prova que advenha da intervenção do chamado sistema Encrochat, SKY ECC e ANOM. Além disso, é necessária a revogação de todas as prisões preventivas aplicadas a investigados.
O EncroChat é um sistema de comunicação criptografado. Ele opera usando telefones dedicados fornecidos pelo operador do sistema EncroChat e funciona com base no fato de que os dispositivos EncroChat só podem se comunicar com outros dispositivos EncroChat. Os dispositivos EncroChat têm sistemas operacionais duplos, um é o próprio sistema operacional EncroChat e o segundo é um sistema Android padrão sem funcionalidade.
Dependendo de como o telefone está ligado, ele inicializará no modo de sistema EncroChat ou Android. Para que um usuário do EncroChat fale com outro, é necessário que eles conheçam a identificação ou manipulação de usuário exclusiva dessa pessoa. Assim como outros sistemas de comunicação criptografada, qualquer mensagem que utilize o sistema EncroChat é criptografada conforme passa pelo servidor EncroChat entre um telefone e outro, sendo decodificada ou descriptografada no telefone receptor para que o usuário possa lê-la.
Com o avanço dos smartphones, podemos fazer quase todas as nossas transações, incluindo transações bancárias e compras on-line, usando nossos telefones. Portanto, a segurança do telefone e dos dados tornou-se mais importante do que nunca. Obviamente, os criminosos usam telefones criptografados para atividades criminosas, mas sugerir que esse é o único uso deles é enganoso. Embora o EncroChat possa agora ser oficialmente encerrado, os smartphones seguros continuarão avançando. A segurança de dados está se tornando cada vez mais importante, principalmente no mundo pós-Covid-19, onde a demanda por plataformas e serviços digitais remotos está aumentando exponencialmente. Existem muitos exemplos de empresas semelhantes que preencherão as lacunas deixadas pelo EncroChat. Em outras palavras, EncroChat, como WhatsApp, Snatchap, Telegram, Signal e muitos outros aplicativos. A prova dessa afirmação é que a National Crime Agency (NCA) do Reino Unido disse à Sky News que a própria empresa não foi acusada de atividade criminosa, mas que sua plataforma foi usada por criminosos (Fonte: sexta-feira, 3 de julho de 2020. Reino Unido https:/ /news.sky.com/story/encrochat-what-it-is-who-was-running-it-and-how-did-criminals-get-their-encrypted-phones-12019678). A empresa manteve uma página na web oficialmente aberta a qualquer cliente ou consumidor que precisasse de seus serviços ou desejasse contratá-los.
Os servidores EncroChat estavam na França e a polícia francesa encontrou uma maneira de enviar um implante para cada dispositivo EncroChat do mundo sob a cobertura de uma aparente atualização de software. Esse implante fez com que o dispositivo transmitisse todos os dados que possuía para a polícia francesa.
As autoridades norte-americanas foram mais longe: criaram diretamente o sistema ANOM para processar imediatamente seus distribuidores e interceptar, indistintamente, todas as comunicações.
Em outras palavras, envolveu o envio massivo, indiscriminado e prospectivo de todas as mensagens de todos os usuários, estejam na França ou não, de todas as suas mensagens pelo mesmo fato de usar um aplicativo objetivamente legal.
As comunicações foram removidas diretamente do telefone do usuário e não durante a viagem para, através ou de qualquer outra parte do sistema. Este é um processo como qualquer outro meio de download de conteúdo de um telefone celular, é feito remotamente, mas é feito interrogando a RAM do telefone, não interceptando a comunicação depois que ela sai do telefone. No caso do remetente, o material foi recuperado na forma de mensagens não criptografadas armazenadas na memória RAM do aparelho na forma em que existiam antes de serem transmitidas do aparelho para os servidores da Roubaix, via sistema de telecomunicações.
Na França, uma equipe de 60 oficiais capturou 70 milhões de mensagens de mais de 32.000 telefones em 121 países dentro de um mês após o hacking, de acordo com documentos legais franceses. Eles simplesmente capturaram tudo sem nenhum tipo de discriminação, todos os dados de pessoas sem nenhuma ligação com nenhum crime. E isso não é permitido por lei.
Vários dos dados aqui relatados foram destacados pelo Tribunal Regional de Berlim em uma primeira decisão dos tribunais europeus, embora não a única como veremos, em julgamento proferido em 1º de julho de 2021 (despacho de 07.01.2021 – (525 KLs) 254 Js 592/20 (10/21) DECLARADA A INADMISSIBILIDADE EM PROCESSO PENAL DE TODOS OS RESULTADOS OFERECIDOS PELA INVESTIGAÇÃO FRANCESA/HOLANDESA DO ENCROCHAT.
De acordo com o acórdão do referido Tribunal, a investigação em território alemão foi realizada sem ter em conta as normas de proteção individual e sem a “necessária suspeita concreta”.
Mesmo que o serviço EncroChat fosse particularmente atraente para os criminosos, a posse de um telefone celular criptografado por si só não permite tirar conclusões sobre o comportamento criminoso. Portanto, não havia razão para monitorar. No preâmbulo, os juízes dão um exemplo: “Se uma pessoa carrega um pé de cabra com ele, isso não é suficiente para uma busca devido a um possível roubo”.
Na verdade, antes que os bate-papos secretos fossem hackeados, geralmente não havia suspeitas contra os participantes, que ainda não se conheciam antes do hack do estado.
Outro ponto central para o Tribunal Regional de Berlim é que se um estado estrangeiro, neste caso a França, quiser monitorar uma pessoa em solo alemão, deve informar as autoridades alemãs com antecedência. O que não aconteceu em violação das disposições dos regulamentos europeus.
Especificamente, a ilegalidade neste caso já é derivada do fato de que os dados foram obtidos em violação da diretiva 2014/41/EU sobre a ordem europeia de investigação e do regulamento aprovado para implementação da lei de assistência mútua internacional em matéria penal.
A referida Diretiva 2014/41/CE do Parlamento Europeu e do Conselho, de 3 de abril de 2014, relativa à ordem europeia de investigação em matéria penal, estabelece no Capítulo V sobre a Intervenção nas Telecomunicações, artigo 31.º que:
“1. Quando, para efeitos de execução de uma medida de investigação, a autoridade competente de um Estado-Membro (“o Estado que conduz a intervenção”) autorizar a intervenção de telecomunicações, e o endereço de comunicações da pessoa que é objeto da intervenção processos penais constantes da ordem de intervenção no território de outro Estado Membro (“o Estado notificado”) cuja assistência técnica não seja necessária para a realização da referida intervenção, O ESTADO REALIZADOR DA INTERVENÇÃO DEVE NOTIFICAR A AUTORIDADE COMPETENTE DO ESTADO NOTIFICADO DE TAL INTERVENÇÃO:
a) antes da intervenção, nos casos em que a autoridade competente do Estado membro que procede à intervenção já tenha sido informada, aquando da ordenação da intervenção, de que a pessoa que é objeto do processo penal da mesma se encontra ou se encontra em o território do Estado notificado;
b) durante ou após a intervenção, imediatamente após tomar conhecimento de que a pessoa sujeita ao processo de intervenção penal se encontra ou foi encontrada durante a intervenção no território do Estado-membro notificado.
- A notificação a que se refere o n.º 1 deve ser efetuada através do formulário constante do Anexo C.”
É evidente que a autoridade francesa tinha pleno conhecimento de que a intervenção de todos os usuários de um servidor de uma empresa jurídica que oferecia software na Internet a quem quisesse contratá-lo, afetaria os usuários em todos os países europeus e não europeus como aconteceu. Não sabemos se a França cumpriu o protocolo com a Bélgica, mas é evidente que não, pois a informação era conhecida e prestada uma vez que alguns telefones foram apreendidos na Bélgica em cartório, fato este que serviu de gatilho para a coleta da informação contida nos terminais das Autoridades em francês, mas nada se diz sobre o cumprimento do protocolo para a intervenção dos mímicos quando ocorreu.
Como será explicado abaixo, as autoridades francesas iniciaram esta investigação nos anos 2016/17, portanto, não lhes era estranho ter conhecimento de que a intervenção dos telefones de todos os usuários do software e do serviço através da implementação de um vírus para todos os usuários afetaria pessoas que residem em dezenas de países.
Se um Estado-Membro pretender interceptar o tráfego de telecomunicações de pessoas no território de outro Estado-Membro, deve informar a autoridade competente do Estado destinatário da medida antes do início da medida (ou logo que tome conhecimento do paradeiro da pessoa), nos termos do Art. 31 n.º 1 da Diretiva 2014/41/UE.
Em particular, tal não pode ser justificado pelo facto de as “pessoas-alvo” da medida serem os operadores. A essa altura, nem importa se os usuários dos dispositivos finais tinham o status formal de réus no julgamento francês ou se havia pelo menos uma suspeita de crime contra eles. O artigo 31.º da Diretiva Europeia não está vinculado ao estatuto processual do titular dos dados, mas baseia-se apenas no facto de o utilizador do equipamento terminal monitorizado se encontrar em território estrangeiro.
Este é o caso do pesquisador e da maioria dos outros supostos usuários. Portanto, mesmo que os usuários fossem apenas pessoas de contato do réu, a obrigação de informação prévia, nos termos do artigo 31, não teria sido devidamente cumprida pela França.
Só por este fato, precederia declarar a nulidade imediata de todas as provas relacionadas com os serviços EncroChat e o conteúdo das mensagens fornecidas a este Tribunal através do cumprimento de um OEI preenchido por comunicação da autoridade judiciária de Lille (França).
Após isso, a efetiva transmissão dos dados objeto da O.E.I. citados, que foram recebidos pelas autoridades belgas com base na imputação.
Mas o problema em questão é que a investigação francesa sobre o EncroChat foi lançada no EncroChat em 2016 e 2017 após a recuperação de vários telefones EncroChat na posse de traficantes de drogas. Os investigadores da lei conseguiram rastrear os servidores usados pelo EncroChat até um data center administrado pela OVH em Roubaix, na França.
Em janeiro de 2020, um Tribunal em Lille autorizou a instalação de um implante de software direcionado aos telefones Android BQ Aquaris X2 usados por mais de 32.000 usuários do EncroChat em 122 países. O implante, fornecido pela agência de inteligência francesa DGSE, inicialmente coletava dados históricos da memória do telefone, incluindo mensagens de bate-papo armazenadas, catálogos de endereços, notas e o número IMEI exclusivo de cada telefone. Na segunda etapa, o implante interceptou as mensagens de bate-papo recebidas e enviadas, provavelmente capturando prints de tela ou chaves de registro, e as transmitiu a um servidor gerenciado pela C3N(Fonte: https://postintrend.com/author/mransubhegmail-com/, 3 de julho de 2021 e Acórdão do Tribunal Regional de Berlim já citado).
Com tudo isso, essa forma de investigar e seus resultados não é o único problema de irregularidade. Como expõe a própria Corte alemã em aplicação de doutrina semelhante à seguida em outros países europeus, como a Espanha e Portugal (não poderia ser de outra forma dada a influência que o direito penal alemão teve em muitas leis de nosso continente).
A investigação francesa suspeita genericamente do uso de um aplicativo ou software legal, deduzindo que todos os usuários que o utilizam são ou fazem parte de organizações criminosas. OS RÉUS ESPECÍFICOS NÃO SÃO NOMEADOS, CONHECIDOS OU IDENTIFICADOS NAS ORDENS JUDICIAIS.
Nas palavras do TRIBUNAL ALEMÃO “Não havia fatos suficientes que justificassem o acesso indiscriminado aos dados de todos os utilizadores de determinado modelo de aparelho, incluindo o arguido. As suspeitas contra os utilizadores dos dispositivos terminais limitavam-se ao fato de o sistema estar equipado com backups particularmente complexos e comparativamente dispendiosos para os utilizadores, de a utilização dos referidos terminais para fins criminais ter sido apurada em vários processos penais – predominantemente por crimes de drogas, mas também por outros crimes – e que os destinatários da medida também usaram os referidos dispositivos terminais.”
As tecnologias de criptografia também não são em si um ponto de partida adequado para a suspeita de um crime porque seu uso não é indesejável do ponto de vista do Estado, mas deve ser fortalecido para proteger dados confidenciais do acesso de terceiros.
Por exemplo, a RESOLUÇÃO DO CONSELHO DA UNIÃO EUROPEIA SOBRE CRIPTOGRAFIA DE 24 DE NOVEMBRO DE 2020 – 13084/1/20 – (disponível na Internet) afirma que a União Europeia “apoia plenamente o desenvolvimento, implementação e uso de criptografia forte”; é “um meio necessário para proteger os direitos fundamentais e a segurança digital dos governos, indústria e sociedade”. você; os usuários de comunicações criptografadas não “entram visivelmente em uma esfera que não vale a pena proteger” e não expõem nenhum “direito legal” ao uso da criptografia.
Certamente, pode-se ficar tentado ou relutante em entrar em avaliações sobre a legalidade de uma medida investigativa realizada por um Estado estrangeiro, especialmente se esse Estado fizer parte da esfera europeia (Princípio da não indagação), mas a polémica que tem surgido, as diferentes legislações, os diferentes tratamentos e, em última instância, porque afeta normas comuns no nosso quadro jurídico europeu, exige-se homogeneidade nas decisões, pois o contrário, como está a acontecer, implica um elevado risco de insegurança jurídica.
Mas é também que o pressuposto em que nos encontramos dita doutrina (PRINCÍPIO DE NÃO INQUÉRITO) não é aplicável porque a própria Diretiva Comunitária, excetua essa presunção ou santificação de tudo o que vem de fora.
A diretiva exige comunicação prévia precisamente para que o Estado onde residam os utentes abrangidos pela medida excecional de investigação, possa examinar, antes da sua execução, se é ou não legal à luz do ordenamento jurídico e da doutrina e princípios aplicáveis a esse Estado.
ESSA PRIVAÇÃO DE INFORMAÇÕES VIOLA GRAVEMENTE O ARTIGO 16 DA DECLARAÇÃO DOS DIREITOS DO HOMEM E DO CIDADÃO (DDHC), TODO CIDADÃO TEM DIREITO A UM JULGAMENTO JUSTO E DE ACESSO ÀS PROVAS USADAS CONTRA ELE.
A JUSTIÇA SUECA também rejeitou um processo criminal no qual eles tentaram usar os resultados da investigação francesa sobre o aplicativo EncroChat.
O TRIBUNAL DE RECURSOS DA SVEA EM ESTOCOLMO encontrou “ambiguidades” nas evidências da rede telefônica criptografada EncroChat apresentadas pelo Promotor. O veredicto afirma claramente que o material obtido do hack do EncroChat não tem valor legal (https://technews.gomoguides.com/2021/05/)
Não serão as primeiras nem as últimas sentenças que questionam a legalidade dos resultados da investigação francesa.
Esta questão afeta os direitos dos cidadãos à sua intimidade, privacidade e o direito de protegê-los com as ferramentas legais que são oferecidas a cada momento pelo estado da ciência diante da tendência dos governos de penetrar nessas áreas essenciais para os cidadãos, numa sociedade democrática.
Registramos que, em vista do que já foi dito acima sobre a investigação do EncroChat, SKY ECC e ANOM, qualquer pessoa presa, ou com problemas em uma investigação policial (inquérito) ou até mesmo Ação Penal já instaurada, deve contratar um advogado criminalista especialista no assunto, visando anular os processos ou investigações, pois nesses casos os procedimentos judiciais criminais dever ser amputado e excluído do procedimento (desentranhado dos autos) para evitar uma desigualdade gritante entre as partes com base em seus resultados obviamente ilegais em vista do sistema jurídico local e dos regulamentos comunitários aplicáveis.
A França, País que, como vimos, é a origem, promotor e responsável pela investigação do chamado sistema ENCROCHAT, e o SUPREMO TRIBUNAL DA REPÚBLICA FRANCESA anulou a Decisão Judicial que homologou a intervenção do chamado sistema ENCROCHAT. É uma anulação provisória, é verdade, mas neste preciso momento a prova consistente, ou melhor, proveniente da intervenção do chamado sistema ENCROCHAT, realizada pelas autoridades judiciárias francesas, é probativamente inválida até que a ordem do Tribunal Superior seja realizado.
Assim sendo, conclui-se que operações deflagradas pela polícia federal em solo brasileiro, baseadas principalmente (e unicamente) em provas compartilhada por países da União Europeia de troca de mensagens pelos telefones criptografados e sistemas SKY ECC e Encrochat, são nulas de pleno direito, sendo necessário a impetração de habeas corpus com pedido liminar para revogação de prisão preventiva, exclusão de inclusão na INTERPOL e extinção de pedido de extradição, bem como é necessário a impetração de Habeas Corpus para trancamento da Ação Penal a ser instaurada, em virtude da prova ser nula e ainda estar em julgamento a âmbito Europeu a validade dessa prova, que viola princípios e normas constitucionais.
Eduardo Maurício é advogado no Brasil, Portugal e Hungria, presidente da Comissão Estadual de Direito Penal Internacional da Associação Brasileira dos Advogados Criminalistas (Abracrim), membro da Associação Internacional de Direito Penal de Portugal (AIDP – Portugal ) e da Associação Internacional de Direito Penal AIDP – Paris, pós-graduado pela PUC-RS em Direito Penal e Criminologia, pós-graduado em Direito Penal Econômico Europeu, em Direito das Contraordenações e Especialização em Direito Penal e Compliance, todos pela Universidade de Coimbra/Portugal, pós-graduado pela CBF (Confederação Brasileira de Futebol) Academy Brasil – em formação para intermediários de futebol, pós-graduando pela EBRADI em Direito Penal e Processo Penal, pós-graduado pela Católica – Faculdade de Direito – Escola de Lisboa em Ciências Jurídicas e mestrando em Direito – Ciências |Jurídico Criminais, pela Universidade de Coimbra/Portugal.
