Os ataques ocorridos em escolas de São Paulo e Santa Catarina em 27 de março e 5 de abril, que resultaram na morte de cinco pessoas – dentre as quais crianças com idades entre 5 e 7 anos –, soaram o alerta e despertaram pânico entre pais e educadores. Isso foi particularmente notório em 20 de abril, data marcante para os que admiram e/ou têm propensão a praticar atos do gênero e quando eram esperados, por conta de boatos veiculados pela Internet, novos atos criminosos. Naquele dia, em cidades como São Paulo, muitas creches e escolas ficaram fechadas e as que funcionaram registraram frequência muito menor que a normal.
Foi no próprio dia 20 de abril que muitos ISPs receberam da Anatel um ofício do Ministério da Justiça e Segurança Pública sobre a Operação Escola Segura que, do seu início em 6 de abril até aquele momento, contabilizava prisões e apreensões de 302 pessoas. Na mensagem, a pasta alertava que, conforme relatos das Polícias Civis de vários estados, alguns provedores de pequeno e médio portes não estavam colaborando com as investigações que visam impedir a disseminação de mensagens “que incentivam ataques a ambiente escolar ou fazem apologia e incitação a esses crimes”.
Mesmo que se concentrem nas mídias sociais, essas investigações dependem de dados que só provedores de Internet detêm. Sem eles, não é possível confirmar o envolvimento de suspeitos de práticas como disseminação de mensagens de ódio e cooptação de pessoas para a prática de ataques.
ISPs têm recebido, com frequência que continuará crescente, solicitações desse tipo, que partem ou da Justiça ou da Polícia. As primeiras têm necessariamente de ser cumpridas. As da Polícia, embora não configurem uma obrigação legal, devem, a princípio, ser atendidas, desde que sejam tomadas algumas precauções. Para os provedores, é preciso saber como agir, pois o recebimento desse tipo de solicitação não cessará, pelo menos, nos próximos meses.
Isso porque as ocorrências em São Paulo e Santa Catarina, que ganharam destaque nas manchetes da imprensa, nem de longe dão a dimensão real do problema. Conforme um levantamento realizado por pesquisadores da Unicamp e da Unesp, desde agosto de 2022, houve mais de um ataque por mês em escolas brasileiras; nove deles com extrema violência e que resultaram em sete mortes. Desde 2002, houve 35 óbitos em atos do tipo.
O estudo, que exclui brigas entre alunos e atos praticados por pessoas que não fazem parte do ambiente escolar – o caso de Santa Catarina, por exemplo, não figuraria nestas estatísticas –, elenca dentre as principais causas desses atos a interação online de jovens com grupos extremistas que, antes restritos à Deep Web, tornaram-se comuns em WhatsApp, Twitter, Telegram e Discord.
As investigações demandam dos ISPs dados sobre os logs de IPs, para que se verifique se suspeitos estavam online no momento da prática de delitos. É a única informação que provedores devem fornecer. Embora existam formas para se saber o que era acessado pelo internauta em determinado período – o que, muitas vezes, é requisitado pela Polícia e pela Justiça –, esse é um dado que não pode ser repassado, uma vez que configuraria violação à Lei Geral de Proteção de Dados (LGPD).
Ocorre, porém, que mesmo os logs são de difícil obtenção para a maior parte dos provedores de pequeno e médio portes. Isso porque é comum no mercado o uso do CGNAT, que possibilita agrupar milhares de conexões sobre um mesmo IP. Dessa forma, ao invés de obter os dados sobre um determinado acesso, o ISP identifica o grupo que estava online no período solicitado, o que pode variar, por exemplo, de 30 a 3 mil dispositivos, dentre os quais está o do suspeito.
No caso de investigações que partem de fóruns online – principalmente, em mídias sociais –, como a maioria das que se referem à apologia a ataques em escolas, a demanda, geralmente, busca a confirmação de que um internauta específico estava online no momento da prática de um suposto delito, algo que pode ser atendido pelos provedores que utilizam o CGNAT. Ocorre que há situações em que o uso desse protocolo força o provedor a fornecer não as conexões ativas em determinado período, mas toda sua carteira de clientes, algo de compromete a obtenção da prova de prática criminosa. Além disso, na apuração de outros tipos de crimes, a identificação de grandes grupos reunidos sobre um mesmo IP frustra os esforços de Justiça e Polícia.
Uma alternativa para contornar a situação é o uso de formulários para a geração de scripts que identificam portas de origem e destino de conexões. Eventualmente, a solução possibilita a individualização de um acesso específico. Geralmente, porém, limita-se a reduzir os grupos de acessos de milhares para centenas. Provedores podem também recorrer à instalação de um servidor de Sylog, algo que, no entanto, é financeiramente inviável para a maioria dos pequenos e médios ISPs. O ideal é a adoção do padrão IPV6, que também é onerosa.
Mesmo que as dificuldades técnicas que impedem o devido atendimento a esse tipo de demanda possam gerar constrangimentos aos provedores, a atualização tecnológica não é obrigatória. O que ISPs necessariamente devem fazer é realizar a guarda dos logs por, pelo menos, um ano, como determina o artigo 13 do Marco Civil da Internet (Lei 12.965 de 23 de abril de 2014). Não dispor desses dados pode configurar obstrução da Justiça ou tornar a empresa corresponsável em investigações criminais.
Provedores não são obrigados a atender a pedidos da Polícia. Porém, dada a gravidade da situação, recomenda-se que o façam, requisitando antes que essas demandas sejam formalizadas em ofícios, o que garantirá sua defesa no caso de fornecimento de dados de conexões que não eram alvo de investigações. A agilidade nesse tipo de colaboração pode permitir que uma ação seja tomada com a rapidez necessária para que se evite um ataque, algo que pode ser inviabilizado pelo tempo que leva até que uma requisição da Polícia se torne uma notificação judicial.
(*) Raphaelle Timporim Militão Ferreira e Bárbara Castro Alves são, respectivamente, advogada e gerente de processos regulatórios da VianaTel, consultoria especializada na regularização de ISPs.