Uso de força letal contra aqueles por trás de ciberataque contra uma nação seria legal se o golpe atendesse a critérios semelhantes aos atualmente aceitos para guerras no mundo real
O uso de força letal contra crackers organizados poderia ser justificado sob lei internacional, de acordo com um documento divulgado na quinta-feira (21/3) por um painel de especialistas em guerras legais e cibernéticas.
Mas isso somente se um ataque cibernético contra uma nação atendesse a critérios semelhantes aos atualmente aceitos para guerras no mundo real, disse o presidente do Departamento de Direito Internacional da Faculdade de Guerra Naval dos EUA, Michael N. Schmitt.
Schmitt é o editor do Tallinn Manual sobre o Direito Internacional aplicável a guerra cibernética, um livro de 300 páginas elaborado por especialistas a pedido da OTAN e publicado pela Cambridge University Press. “Se você tem um grupo armado organizado – e não indivíduos, poucas pessoas realizando ataques – e os ataques causarem consequências que incluem a destruição física ou lesão ou morte de pessoas físicas, então o Estado que é vítima de tais ataques pode atacar com força própria”, disse Schmitt em uma entrevista.
Os danos causados por um ataque virtual teriam que ser tão graves quanto aqueles causados no mundo real. “Se isso acontecer, de acordo com o direito de legítima defesa previsto na Carta da ONU, então o Estado pode responder com força – mesmo que essa resposta envolva ferir as pessoas que o atacaram ou causaram dano a ele”, disse Schmitt.
A situação pode ficar sombria durante uma guerra “quente”, se hackers civis entrarem na briga. “E porque eles estão fazendo isso”, disse Schmitt, “eles podem ser atacados.”
“Se você estivesse no campo de batalha e alguém estivesse atirando com uma arma em você, você deveria ser capaz de atirar de volta”, disse ele. “É exatamente da mesma maneira no ciberespaço.”
No entanto, o uso legal de força letal contra um cracker é muito limitado. “Fico mal quando as pessoas dizem: ‘alguém está conduzindo um ataque de hackers, você pode atacá-los de volta”, disse ele. “Não, esse não é o caso.”
O sincronismo pode ser um elemento-chave para justificar legalmente uma resposta contundente a um ataque cibernético. “Uma vez que um ataque esteja completamente encerrado, não há necessidade de continuar a se defender vigorosamente, então a resposta certa para o ataque é a diplomacia”, disse Schmitt.
Sob essas regras, o Irã, que sofreu danos de infraestrutura devido a um ciberataque realizado pelo vírus Stuxnet, não tinha base legal para uma resposta vigorosa para esse ataque – mesmo que soubesse com certeza quem estava por trás da invasão contra o seu programa de desenvolvimento nuclear.
Da mesma forma, os ciberataques que ocorreram nessa semana contra veículos da mídia e da indústria bancária sul-coreana falharam em atender os requisitos mínimos para uma resposta vigorosa. “Sob a lei existente, as consequências não foram graves o suficiente para justificar uma resposta militar contundente ou uma ciberresposta com consequências graves”, disse Schmitt.
Em ataques como os de Irã e Coreia do Sul, a parte mais difícil é determinar contra quem deve se lançar uma resposta contundente. “A autenticação é uma parte essencial do direito à autodefesa”, disse em entrevista David Bodenheimer, que lidera a prática de segurança interna na empresa de direito internacional Crowell & Moring, em Washington DC. “Você não pode atacar outro país por um ataque cibernético se você não pode identificá-lo com alguma especificidade.”
Mesmo no que é considerado um caso clássico de guerra cibernética lançado por um Estado-nação contra outros – como os ciberataques da Rússia contra a República da Geórgia e Estônia – podem faltar evidências sobre quem estava por trás dos ataques. “Houve suporte para o ataque ser ligado a russos ou cidadãos russos, mas no final do dia, as investigações não foram capazes de mostrar que os golpes foram a mando do governo russo”, explicou Bodenheimer.