O Tribunal de Contas da União (TCU) autorizou, na quarta-feira (8), a retomada de um contrato do ministério da Justiça e Segurança Pública para a aquisição de uma solução de inteligência em fontes abertas, mídias sociais, deep e dark web. O ministro Bruno Dantas, relator do processo no TCU, derrubou uma medida cautelar de 2021 e autorizou a retomada do contrato com a adoção de algumas medidas, entre elas fazer constar no contrato as funcionalidades de segurança e a auditabilidade do sistema.
O processo teve início com ação apresentada pelas organizações Conectas Direitos Humanos, Instituto Igarapé, Instituto Sou Da Paz e Transparência Internacional. Em janeiro, o TCU manteve uma decisão anterior, de novembro de 2021, em que suspendeu o pregão eletrônico que contratou o sistema da Harpia Tech. As entidades apontaram que “havia irregularidades graves na licitação, entre elas a própria ilegalidade da contratação de um sistema capaz de monitorar e perfilar cidadãos sem qualquer justificativa prévia, a ausência de mecanismos de controle e fiscalização e a própria modalidade de licitação adotada, absolutamente inadequada para o tipo de serviço pretendido”.
De acordo com as ONGs, apesar de ser uma tecnologia distinta da Pegasus – software que permite a invasão de dispositivos celulares e computadores -, a plataforma comercializada pela Harpia Tech também é "problemática". Um dos pontos questionados é a contratação do sistema pela Secretaria de Operações Integradas (Seopi) da Secretaria Nacional de Segurança Pública (Senasp), vinculada ao Ministério da Justiça e Segurança Pública. Desde sua criação, em 2019, o órgão funciona como “braço de inteligência do Ministério da Justiça”.
:: Artigo | Pegasus: Espionagem cibernética, NSO e o governo israelense ::
O dossiê Defendendo o Brasil do Tecnoautoritarismo, produzido por pesquisadores do tema, aponta que a plataforma da Harpia "constitui-se enquanto ferramenta cujo funcionamento serve ao monitoramento constante de pessoas, sobretudo em relação a suas atividades online. Tal monitoramento, cumpre ressaltar, não se restringe à atenção por atividades criminosas, mas, como visto, se estende, de forma preocupante, a atividades que traduzem um livre exercício de direitos civis e políticos, como hackativismo e pesquisa acadêmica", diz o material.
"Dessa forma, pode-se dizer que a Solução cuja compra pretende a Seopi entrega uma capacidade ampla de vigilância e, consequentemente, pode interferir diretamente no exercício de direitos fundamentais e facilitar atividades desviantes da ordem democrática e constitucional, como a reunião de dados que podem permitir inferências sensíveis e a produção de dossiês sobre qualquer cidadão, independentemente de suspeita fundada e ordem judicial", explica o dossiê.
Edital nasceu para comprar o Pegasus
De acordo com reportagem publicado pelo portal UOL, o pregão eletrônico que contratou a Harpia surgiu porque o governo estava interessado em contratar o software de espionagem Pegasus. Desenvolvido pela empresa israelense NSO Group, o serviço já foi utilizado por dezenas de governos em diferentes países para invadir celulares de opositores, jornalistas e defensores de direitos humanos. A empresa, no entanto, deixou as negociações com o governo após repercussão na mídia.
Como a licitação seguiu com outras empresas, a Harpia Tech, portanto, foi a escolhida pelo governo federal para entregar serviços. Segundo a ONG Conectas, uma das que se mobilizou contra a contratação, mesmo com a retirada da empresa israelense, o TCU apontou "a ilegalidade da contratação de um sistema capaz de monitorar e perfilar cidadãos sem qualquer justificativa prévia" e "a ausência de mecanismos de controle e fiscalização".
Argumentos contra e a favor
O Brasil de Fato conversou com duas fontes com visões opostas sobre o tema: o diretor da Associação Data Privacy Brasil de Pesquisa, Rafael Zanatta, e o diretor-executivo da própria Harpia Tech, Filipe Soares. Os dois comentaram a decisão do TCU desta semana e explicitaram as diferenças em relação ao assunto.
Para Zanatta, "o TCU perdeu uma oportunidade de identificar uma ilicitude do objeto da contratação". "Esse era o ponto das ONG's: questionar o tipo de dano que um software como esse pode causar, se ele for utilizado sem as devidas cautelas e procedimentos administrativos de legalidade", afirmou. O diretor da DataPrivacyBR foi o autor de um texto, publicado nesta sexta-feira (10), intitulado O que sabemos sobre a Harpia Tech?. Na publicação, reúne informações sobre a empresa.
Na opinião de Soares, dono do sistema comprado pelo governo, o edital trata da "contratação de uma OSINT (Open Source Intelligence), ou seja, uma inteligência de fontes abertas", e não de sistemas de espionagem. "É um serviço comum, que várias outras instituições públicas têm", disse.
Leia a entrevista com Rafael Zanatta, do Data PrivacyBR
Rafael Zanatta, diretor da DataPrivacyBR: "Revogação da medida cautelar é ruim" / Divulgação
Como as entidades que atuam no tema receberam a medida?
A decisão de revogação da medida cautelar é ruim. O TCU sinaliza positivamente que o governo pode continuar usando esse tipo de software que tem a capacidade de montar perfil sobre as pessoas. O TCU perdeu uma oportunidade de identificar uma ilicitude do objeto da contratação. Esse era o ponto das ONG's: questionar o tipo de dano que um software como esse pode causar, se ele for utilizado sem as devidas cautelas e procedimentos administrativos de legalidade.
Quais são os potenciais perigos do sistema?
Uma vez distribuída a licença do software da Harpia, você consegue fazer análise relacional muito fácil. Tem 5.000 pontos de dados que alimentam o software. Pelo que a gente viu na proposta, no vídeo de demonstração e nos documentos que foram apresentados pela empresa, quando você coloca alguém como alvo, aparecem todos os grupos de Telegram que a pessoas faz parte, listas de mailing públicas que a pessoa integra, todas as publicações acadêmicas que teve, todas as vinculações públicas. São informações extraídas da web que te dão o poder de montar análises relacionais. Isto é, verificar com quais pessoas você se relaciona, qual seu círculo de associação.
É um instrumento muito poderoso de vigilância e de análise de associação, que permite a neutralização de condutas que eventualmente não são ilícitas. É preciso ter muito cuidado com um instrumento desse porte na mão da Seopi, que não tem a incumbência de fazer investigação criminal com o devido processo, com a estrutura típica de uma investigação criminal. A Seopi está atuando no tema da inteligência. Foi o órgão que fez o monitoramento dos antifascistas e há a suspeita de que faça monitoramento também de contrainteligência de opositores do governo. Isso habilita o governo a criar um legado. A decisão avança um sinal que depois é difícil de voltar. Vai exigir mais trabalho por parte da sociedade civil de demonstração dos tipos de risco existentes.
Leia a entrevista com Filipe Soares, da Harpia Tech
Filipe Soares, dono da Harpia Tech, à esquerda de Fábio Faria, ministro das Comunicações, em reunião no Planalto, em 3 de maio, revelada pelo Brasil de Fato / Reprodução/Twitter
Como a Harpia Tech recebeu a decisão do TCU?
A decisão do Tribunal de Contas da União, na minha perspectiva, fez prevalecer o óbvio. O que aconteceu foi que essa narrativa do software israelense surgiu concomitantemente à publicação do pregão. Houve uma falha de interpretação de quem lançou a narrativa ao ler o edital. O edital, para quem tiver interesse de ler, deixa claro que se trata de contratação de uma OSINT (Open Source Intelligence), ou seja, uma inteligência de fontes abertas. É um serviço comum, que várias outras instituições públicas têm. Já aconteceram diversos pregões apenas nesses últimos três anos que a Harpia Tech está no mercado.
A primeira metade do processo no TCU serviu para provar realmente que o nosso software não era aquele mencionado (Pegasus). Na segunda parte do processo, o TCU falou: "Me prove que essa ferramenta não vai ser usada para coletar informações fora de contexto". O que chamamos de fora de contexto é o uso fora da atribuição e do mandato legal das autoridades. Demonstramos no TCU todos os requisitos de auditoria da ferramenta. O uso da ferramenta pelos diferentes usuários sempre gera registro, gera logs. O uso é auditável e está suscetível a um controle interno da própria instituição e, quiçá, até a um controle externo por meio dos órgãos de controle da atividade policial e da atividade de inteligência.
:: Fábio Faria fez reunião no Palácio do Planalto com empresa de sistema espião vetado pelo TCU ::
Qual a diferença entre Harpia e Pegasus?
A grande diferença dela para uma ferramenta de interceptação é que ela não está entrando nem nas máquinas, terminais de computação, celulares, ou no âmbito privado de ninguém. Se uma pessoa pública algo em um perfil fechado na rede social, a ferramenta não vê. Se uma pessoa tem um Twitter que tem restrição de acesso, a ferramenta não vê. Evidentemente, grupos de WhatsApp em que você precisa ser convidado ou validado pelo administrador, a ferramenta não vê.
Porém, ela vê alguns ambientes – como você pode inferir até da própria leitura do edital –, que são ambientes desenhados para serem públicos. Vimos algumas matérias esse ano de repórteres que colocaram usuários em grupos de Telegram em que se discutem vários assuntos, várias temáticas polêmicas. Isso ocorre porque são fóruns públicos. São grupos em que as pessoas livremente compartilham os links de acesso e não há uma validação para entrar. O que a ferramenta faz é coletar informação desses ambientes, de fóruns públicos, em que todo mundo tem plena ciência de que se trata de um ambiente público. Isso é muito diferente de um ataque com malware ou de uma interceptação.
O que faz o sistema da Harpia?
A Harpia é superior às outras pela capacidade de achar e estruturar a informação de qualidade. O desafio desse tipo de ferramenta é encontrar a informação em diferentes pontos, em diferentes locais, e estruturar essa informação. Como foi solicitado na licitação pública em questão, estruturar essa informação em diferentes camadas para que um investigador ganhe tempo na hora de pesquisar na hora de pesquisar por um nome, por um e-mail, por um nome de usuário. É um processo que um ser humano conseguiria fazer, mas que, porém, levaria bastante tempo. A ideia da ferramenta é, tanto quanto possível, automatizar esse processo.
Edição: Rodrigo Durão Coelho
