Só uma «cultura de autoproteção no ciberespaço», promovida pelo Estado, as empresas e as universidades, pode combater a crescente «ameaça invisível» da nova geração de crimes informáticos. Para Jorge Bacelar Gouveia, as penas previstas deviam ser aumentadas como forma de dissuadir estas práticas criminosas. Sobre o conflito na Ucrânia, o constitucionalista admite que Vladimir Putin pode vir a ser julgado à revelia pelo Tribunal Penal Internacional.

Foi eleito presidente do OSCOT em novembro passado. Quais são as prioridades do seu mandato?

Para começar, queremos que o OSCOT seja visto como uma estrutura nacional. Alargar a sua área de intervenção ao que chamamos as “novas seguranças”: a proteção civil, a segurança comunitária, a segurança cibernética, a segurança rodoviária, a segurança para proteger os seres humanos do tráfico de órgãos, etc.  Com a colaboração de diversos especialistas – polícias, militares, serviços de inteligência, juristas, docentes, etc. – afetos a vários ramos de saber, queremos trabalhar de forma mais estreita com as universidades, procurando aliar um saber prático a um saber teórico. Neste sentido, gostaríamos de incentivar a formação de pós-graduações e apoiar mestrados e doutoramentos em áreas em que as nossas universidades estão necessitadas.  Também em estreita parceria com as universidades, pretendemos lançar cursos, livros e revistas científicas com periodicidade regular. Um objetivo que ainda pretendemos almejar é o de derrubar algumas “capelinhas” que há entre as várias estruturas de segurança do país. Esse caminho está a ser feito, mas é preciso aprofundar e afinar, até porque, como sabe, a cultura militar difere muito, por exemplo, da cultura policial e da cultura de proteção civil. Mas podem e devem trabalhar juntas.

Foi um dos constitucionalistas que mais criticou as medidas tomadas pelo governo no contexto da pandemia, no que aos direitos, liberdades e garantias dos cidadãos diz respeito. Nomeadamente o recolher obrigatório, a proibição de circulação entre concelhos e a medição de temperatura, só para dar alguns exemplos. Admite que, em determinados períodos, foi-se longe demais?

A pandemia foi muito negativa para a sociedade, mas teve o lado positivo, que gostaria de realçar: o de ter reforçado a importância dos nossos direitos enquanto cidadãos. A transversalidade desta crise expôs aspetos pouco falados, mas que são tão importantes, como é o caso do direito à circulação, o direito a ir a um restaurante ou a frequentar uma superfície comercial. O período de crise sanitária veio mostrar que Portugal não dispõe de qualquer instituto adequado para resolver este problema, pelo caráter transversal da pandemia nas várias áreas da vida em sociedade, que vai muito para além da intervenção específica, de tipo militar num golpe de Estado ou com natureza de socorro numa tragédia natural. Para além disso, o caráter duradouro da pandemia foi outro problema. Como se lembra, obrigou à renovação, cada 15 dias, de sucessivos estados de emergência. O Presidente da República fez cerca de duas dezenas de declarações do estado de emergência.

Os políticos foram precipitados na forma como usaram esses mecanismos?

Os políticos usaram mal o estado de calamidade, que é um estado de crise de proteção civil. Aplicaram este instituto de proteção civil fora do quadro de estado de emergência como se fosse um estado de emergência normal. O que gerou uma série de problemas. Desde logo o direito à liberdade de circulação, que era limitado pelo estado de calamidade e houve várias decisões de “habeas corpus” que foram aceites pelos tribunais: em Lisboa, nos Açores e no Algarve. Eu teria decretado mais vezes o estado de emergência, em vez de acionar - por pura comodidade dos políticos - o estado de calamidade, que não tem a mesma força e a mesma função. 

Nestes dois anos, mesmo por imposição das circunstâncias sanitárias, identificou atropelos aos direitos, liberdades e garantias?

Sim, registaram-se vários atropelos. Muitas das normas, tendo em vista impor restrições, foram aplicadas de forma inconstitucional.  A própria liberdade religiosa de culto foi suspensa, quando esse é um dos poucos direitos que nunca pode ser tocado na pendência do estado de emergência.

Na eventualidade de uma futura pandemia, que alterações de fundo sugere que sejam implementadas?
Continua a faltar uma lei de emergência sanitária. Nestes dois anos, a Constituição não foi mexida, nem resolvidas as situações dúbias na Lei de Bases de Proteção Civil. O mais curioso é que não houve oportunidade para trabalhar num assunto tão urgente, mas houve tempo, por exemplo, para avançar com a iniciativa legislativa da eutanásia. Espero que na legislatura que agora se inicia os partidos comecem a discutir o assunto, até porque considero que uma revisão constitucional é da maior necessidade.

Depois do Grupo Impresa, nos primeiros dias de janeiro, também a Vodafone foi fortemente afetada por um ciberataque transversal aos seus serviços. Se uma multinacional que está na vanguarda tecnológica consegue ficar praticamente paralisada, significa isto que, nos dias que correm, qualquer área da vida em comunidade - e até do próprio Estado - pode estar em risco?

É um motivo de alarme. Para ser franco, o que me preocupa mais são as estruturas do Estado e dos serviços públicos, que considero estarem desprotegidas, a saber: escolas, hospitais, tribunais, serviços agrícolas e de inspeção, e por aí fora. Por exemplo, num estabelecimento escolar, se alguém se lembra de alterar as notas de alunos ou num hospital falsificar ou ter acesso a dados de saúde confidenciais. O Estado não tem capacidade de investir em programas de autoproteção contra ciberataques. Há uma lei recente (a Lei n.º 46/2018, de 13 de agosto), que é o regime jurídico da segurança do ciberespaço, a qual estabelece um regime de coimas para os serviços e empresas públicas e empresas privadas que não tenham planos de proteção contra ciberataques. O que acontece é que o diploma foi aprovado em 2018 e pelo que sei tem tido uma aplicação eminentemente pedagógica. A verdade é que já passaram quatro anos e pelo que se constata a pedagogia pouco adiantou porque os ataques bem-sucedidos têm surgido em força.

O Estado não tem meios para reforçar a autoproteção dos seus serviços e a polícia criminal, a Polícia Judiciária (PJ), também se debate com escassez de meios. Isto é uma pescadinha de rabo na boca...

A PJ não assume isso publicamente, o que é compreensível, pois não quer passar uma imagem de fragilidade para o exterior. Esta polícia criminal tem pouco mais de metade do seu quadro de efetivos preenchido, o que é revelador da carência de meios. Ainda assim, há que louvar o trabalho que tem desenvolvido, nomeadamente na área do combate ao cibercrime.

Em suma, continua a fazer-me omeletes sem ovos. E onde fica a segurança das pessoas, das empresas e do Estado?

O cibercrime é uma ameaça invisível. A privacidade das pessoas, tal como a conhecíamos, há muito que acabou e hoje a informação e os nossos dados são um ativo muito relevante. Para além das informações de natureza empresarial, que são também muito “apetecíveis”. Creio que o busílis da questão é a falta de uma cultura de autoproteção no ciberespaço. A começar no cidadão, devem ser promovidas práticas de defesa perante ataques informáticos com o recurso a programas antivírus, o modo como concebemos as instalações para prevenir eventuais ataques físicos às instalações informáticas, o modo de organizar e localizar os servidores, etc. Acredito, por isso, que estes últimos e mediáticos ataques aos grupos Impresa e à Vodafone podem fazer-nos despertar para a segurança cibernética.

Estes últimos ataques revelam um caráter mais sofisticado?

O que se sabe é que os vírus informáticos utilizados são os mesmos de sempre. O que existe é uma multiplicação de ataques e feitos em larga escala. Apesar dos poucos meios que detém, gostaria de destacar o papel do Centro Nacional de Cibersegurança pelas campanhas de sensibilização que tem levado a cabo no sentido de aconselhar as empresas a terem cautelas redobradas para evitar ataques futuros.

Mas o que é quer dizer quando afirma que estamos perante uma nova geração de crimes informáticos?
Para começar, o uso de uma nova técnica que consiste em ganhar dinheiro com estas ações. Para além disso, os ataques perpetrados são mais organizados, mais intensos e dirigidos a alvos de maior dimensão e exposição, que causam mais alarme social, pelo seu caráter disruptivo. Há aqui um verdadeiro “terrorismo informático”.

O processo de educação e literacia cibernética leva tempo a dar frutos. No entretanto, que papel podem desempenhar os centros de saber?

As matérias sobre a cibersegurança – nomeadamente as noções e princípios básicos – devem constar nos programas do ensino básico e secundário. Hoje em dia, qualquer criança ou adolescente passa horas de volta do seu telemóvel, que para além de ser uma “arma”, é um dispositivo que pode constituir uma grande vulnerabilidade para o próprio utilizador. Defendo, por isso, que a prevenção e a educação sobre este tema não devem cingir-se à informática, mas alargar-se a outras ciências, com as suas especificidades e abordagens próprias. Todas as áreas do saber têm de incorporar este conhecimento de autoproteção ao nível da cibersegurança, na medida em que todas utilizam, no dia a dia, os recursos informáticos. Em suma, no plano das universidades, há que dar um salto de qualidade de um discurso prosaico e de senso comum para um discurso técnico-científico mais elaborado, que contribua para o aprofundamento de certas matérias da maior relevância para a vida em sociedade.

Mas o que é que se deve fazer no imediato?

No imediato, até porque as ameaças no ciberespaço vão continuar, é preciso adotar um programa de emergência de literacia para a cibersegurança. Esta iniciativa deve resultar do esforço conjunto do Estado, das empresas e das universidades. No médio prazo, creio que se deve avançar para algo numa perspetiva mais planificada.

A transição digital de que tanto se fala acautela estas ameaças?

O nome de transição digital é muito bonito – até faz parte da designação do Ministério da Economia - mas tem sido encarado mais do lado lúdico do que da sua vertente sombria. Quando a transição digital significa, também, o aumento das ameaças para os ativos das empresas e para os dados pessoais. E, por exemplo, as empresas privadas muitas vezes não incorporam no seu “business plan” os custos com a proteção informática, quando este deve ser um elemento a considerar na gestão empresarial. Há muitos empresários que são ainda muito tradicionalistas e resistem em ver a segurança informática como um fator essencial para o seu sucesso.

Muitas vezes o problema é chegar aos responsáveis por estes crimes informáticos. A moldura penal prevista é a apropriada?

Entendo que as penas previstas são baixas e deviam ser aumentadas como forma de dissuasão. Alguns dos «piratas» estão por cá e outros estão no estrangeiro, nomeadamente na Rússia. Mas acredito que o combate deve ser feito noutras frentes. Por exemplo, aumentar os mecanismos de cooperação policial entre países no âmbito dos crimes informáticos, como já acontece noutros âmbitos de criminalidade, como o terrorismo, os roubos, os raptos ou o combate ao tráfico de droga, só para dar alguns exemplos. Veja que não foi por acaso que, aqui há uns anos, os Estados Unidos criaram uma agência de inteligência exclusivamente para os dados informatizados - a National Security Agency (NSA).

O caso do jovem estudante da Faculdade de Ciências de Lisboa que, alegadamente, planeava um ataque contra a comunidade escolar gerou choque e comoção nacional. A PJ e o Ministério Público fizeram bem em divulgar o caso ou seria preferível terem mantido o assunto em segredo, evitando a repercussão mediática do tema?

Acho que tomaram a decisão correta. Se não o fizessem, seriam acusados de estarem a ocultar informação que, tarde ou cedo, acabaria por vir para a opinião pública. E com o risco maior de perante um iminente ataque, essas entidades ficarem com o ónus de não terem feito nada…. Ao contrário do que as pessoas pensam, a divulgação do caso veio mostrar aos jovens – e também aos seus pais – os riscos que eles correm nas suas intervenções no ciberespaço. Sob a aparência de estar a jogar tranquilamente Playstation no seu quarto, qualquer jovem pode estar a arquitetar no seu computador um plano criminoso. Este facto – apesar de ter sido de forma algo alarmante – despertou a consciência dos pais para a importância da educação cibernética dos seus filhos. Por outro lado, a própria juventude ficou autoconsciente que, quase sem se dar por isso, pode estar a brincar com o fogo.

Quer dizer que, pese embora a gravidade, este caso tem ilações importantes a reter?

Importa não esquecer que este foi o primeiro grande caso de risco e que o uso do ciberespaço serviu de plataforma para se organizar um crime de grande gravidade, algo que nunca tinha acontecido, nestes termos, no nosso país. Não creio, contudo, que estejamos perante um episódio de terrorismo, mas sim de “massive killing”, como é qualificado nos Estados Unidos.  Felizmente que o caso não acabou em tragédia, mas creio que trouxe alguns ensinamentos e alertas importantes para as famílias e para os próprios jovens.

O tema do momento desde 24 de fevereiro é a guerra na Ucrânia.  O Direito Internacional Público foi atirado às malvas pelo presidente russo?

O Direito Internacional Público nunca terá a mesma força do Direito que é feito pelo Estado. É preciso não esquecer que o Estado tem a maquinaria mais potente que há, que são as forças armadas. Não há forças armadas internacionais, mas sim estaduais. Mas reitero, como disse no artigo que escrevi recentemente no “Público”, que o Direito Internacional Público já não é o Pai Natal, no sentido de ser uma coisa que não existe. O Direito Internacional tem formas de agir de forma imprevista e diria até imaginativa, que tem atrapalhado o que os russos julgavam ser um “passeio”. É o caso das sanções económicas, diplomáticas e consulares de que a Rússia tem sido alvo. O Direito Internacional punitivo tem acabado por castigar entidades privadas russas, como é o caso dos oligarcas, ligadas a um país agressor. Algo que há uns anos a esta parte seria impensável. É preciso lembrar que este conflito propiciou, contra muitos prognósticos, uma unidade forçada da Europa, que costuma ter interesses contrapostos, mas que se uniu em torno da causa humanitária do povo ucraniano.

Vladimir Putin pode ser julgado pelo Tribunal Penal Internacional (TPI) à revelia?

É possível. Quero recordar que dois TPI’s “ad hoc” julgaram os dirigentes da ex-Jugoslávia pelo genocídio de 200 mil bósnios e dirigentes do Ruanda pelo genocídio de 800 mil tutsis. O Conselho de Segurança da ONU fez uma deliberação em que criou dois tribunais “ad hoc”: um para a Jugoslávia e outro para o Ruanda. O Direito Internacional evoluiu e criou um tribunal, que é o TPI, que funciona em permanência desde 2002 e está sediado em Haia. O problema deste tribunal é saber como aplicar a sua jurisdição, visto que estamos na presença de um tribunal complementar aos tribunais nacionais.  Para além disso, é preciso não esquecer que a Rússia pode-se opor a que o TPI julgue crimes relacionados com a guerra na Ucrânia, visto que, tendo assento no Conselho de Segurança das Nações Unidas, o pode bloquear com direito de veto, na hipótese de este organismo decidir aplicar a sua jurisdição aos crimes internacionais cometidos na Ucrânia.

Isso é uma parte do problema, o outro é sentar o presidente russo no banco dos réus...

É uma dificuldade evidente, ainda para mais sabendo que há provas concludentes da prática de crimes de guerra na Ucrânia, da mesma forma que havia provas do uso de armas químicas na Síria. Quem tiver cometido esses alegados crimes, em qualquer outra parte do mundo que não seja a Rússia, pode hoje, segundo a mais recente tendência dos países – tendo ou não ratificado o TPI –, ser julgado porque a justiça estadual considera ter uma competência penal universal para apreciar os crimes de guerra e contra a humanidade. Ou seja, as próprias nações hoje já não ficam presas ao critério da territorialidade.

Os potenciais julgados do lado russo seriam o presidente e toda a cúpula militar?

Seriam todas as estruturas que exercem um poder de efetivação da prática dos crimes. O Direito Internacional Penal determina que o responsável é quem dá as ordens para matar e não propriamente quem executa essas mesmas ordens.

A CARA DA NOTÍCIA

Constitucionalista, árbitro judicial e advogado

Jorge Bacelar Gouveia nasceu a 1 de julho de 1966, em Lisboa. Licenciado e mestre em Direito, doutorou-se com uma tese sobre o estado de sítio e o estado de emergência. É advogado, jurisconsulto, árbitro judicial e constitucionalista. Na década de 90, foi professor convidado na Faculdade de Direito da Universidade Eduardo Mondlane, em Maputo. Ainda em Moçambique, onde residiu dois anos, esteve como consultor do Banco Mundial, proposto pelo Governo daquele país africano, para trabalhar na legislação do poder local. Regressado a Portugal, ingressou como docente na Faculdade de Direito da Universidade Nova de Lisboa. Desde 2009 é professor catedrático, tendo também lecionado na Universidade Autónoma de Lisboa. Deputado à Assembleia da República (2009-2011), presidiu entre 2004 e 2008 ao Conselho de Fiscalização do Sistema de Informações da República Portuguesa, eleito pelo Parlamento.  Presidiu ainda ao Conselho Fiscal e Disciplinar do Sporting Clube de Portugal (2013-2017) e lidera, desde 2017, o Conselho Fiscal da Ordem dos Advogados. Preside desde final de 2021 ao Conselho Diretivo do OSCOT – Observatório de Segurança, Criminalidade Organizada e Terrorismo, instituição que reúne especialistas ligados às matérias da Segurança e Defesa.