Stalkerware: Desafios de tipificação e de enfrentamento

Por Barbara Orihuela

Em vista da informatização crescente da sociedade e da infiltração diária dos avanços digitais no cotidiano, a violência de gênero inevitavelmente incorpora um componente tecnológico. Uma vez que a tecnologia, longe de ser neutra, reproduz e impõe padrões de poder, é inconteste o emprego de ferramentas cibernéticas na perpetuação de desigualdades. Centrando-se precipuamente sobre o reflexo negativo do meio virtual sobre a dinâmica de gênero, o stalkerware, como uma das expressões do cyberstalking, inova como forma de controle e de vigilância das vítimas mediante a instalação de aplicativos espiões, originalmente com finalidades lícitas, em aparelhos eletrônicos.

Em suma, o stalkerware consiste em monitoramento viabilizado por softwares de spyware e por dual-apps, ou seja, aplicativos voltados para realização do cyberstalking^[1]. Nessa perspectiva, aplicativos legítimos, originalmente idealizados para rastreio de crianças, animais de estimação e aparelhos perdidos, evoluíram, diante de sentimentos de suspeita de traição ou separação, para a vigilância de pessoas adultas sem seu consentimento, tornando-se um instrumento da violência de gênero no meio digital^[2].

Além da instrumentalização na violência de gênero, os sistemas de spyware são utilizados por órgãos de defesa de governos democráticos e autoritários, os quais, explorando a deficiência de cada tecnologia, acessam e monitoram dados armazenados em dispositivos eletrônicos de alvos sob um discurso de combate à criminalidade e de preservação da segurança pública, ensejando discussões sobre a legitimidade dessa tecnologia em face da violação sistemática de direitos fundamentais^[3]. Para além da investigação criminal, detecta-se abuso dessa prática de ciberespionagem para perseguição de jornalistas, ativistas de direitos humanos, acadêmicos e adversários políticos^[4].

Ante o enfoque na violência de gênero, o stalkerware seria concebido mais frequentemente nos cenários em que o parceiro, com acesso ao dispositivo da parceira, instala fisicamente o aplicativo sem que o alvo perceba ou quando a própria parceira realiza a instalação da ferramenta, induzida em erro pelo parceiro sobre a sua natureza e finalidade.

Explorando esses perigos, a partir da instalação de um spyware, que inclusive não exige um conhecimento técnico específico, é viabilizado o exercício de um controle integral da vida digital das atuais ou ex-parceiras, dado que é possível monitorar mensagens, postagens das redes sociais e visitas a websites, assim como ativar sistema de GPS, bloquear ligações telefônicas e até ativar câmeras e microfones de celulares e computadores^[5]. Assim, a partir de capturas de tela, é possível rastrear precisamente quais dados são excluídos, renomeados ou alterados em tempo real ou em momento posterior, bem como exportar ou imprimir todas essas capturas de tela em formato de texto ou excel^[6]. Ou seja, há uma amplificação das práticas comuns do stalking, comumente ligações e mensagens de textos recorrentes.

A instalação do spyware tem ainda potencial de impactar distintas esferas da vida da vítima, gerando não apenas estresse emocional e sentimentos de paranóia, mas também riscos financeiros, posto que a assinatura do aplicativo poderia ser paga com o próprio cartão de crédito da vítima^[7]. Nesse diapasão, também há inúmeras vulnerabilidades de segurança nos sistemas de stalkerware, altamente suscetíveis a vazamentos de dados de usuários por ataques de terceiros e, consequentemente, à exposição das vítimas a novas ameaças de malware e vírus no dispositivo pela exploração de vulnerabilidades, visto que seus dados poderiam ser acessados por atores além do agressor originário^[8].

Em adição, os impactos prejudiciais do monitoramento digital não se limitam à falta de sensação de segurança, de privacidade e de confiança das vítimas sobre seus aparelhos eletrônicos, sobrepondo-se com outras modalidades de violência de gênero, como violência física, verbal e psicológica ou até feminicídio^[9]. Assim, tal prática aumenta a situação de risco vivida, eis que a progressão para uma violência física poderia vir à tona nas ocasiões em que, por exemplo, a sobrevivente não oferece uma resposta imediata a mensagens e ligações do agressor; a vítima confronta o agressor da instalação do aplicativo; o agente descobre as intenções de separação da parceira pelo aplicativo; ou em que se localiza uma ex-companheira que tenha recorrido a uma casa abrigo para mulheres em situação de violência doméstica^[10].

Sob uma ótica normativa, embora o stalkerware consista em uma espécie de cyberstalking, não há um tipo penal específico para tanto, o que dificulta sua tipificação e a estruturação de uma resposta penal. Entretanto, convém interpretar que o fenômeno ocorreria quando o perpetrador persegue alguém reiteradamente, geralmente companheiras ou ex-companheiras, por meio da intrusão de dispositivo informático, invadindo sua esfera de liberdade ou privacidade. Logo, na ausência de um tipo penal específico, é possível interpretar adequadamente o stalkerware como uma prática de stalking (artigo 147-A do Código Penal) mediante uma intrusão informática qualificada (artigo 154-A, §3º do Código Penal), sobressaindo pela forma sofisticada e pelo elevado poder sobre dados sensíveis:

Art. 147-A.  Perseguir alguém, reiteradamente e por qualquer meio, ameaçando-lhe a integridade física ou psicológica, restringindo-lhe a capacidade de locomoção ou, de qualquer forma, invadindo ou perturbando sua esfera de liberdade ou privacidade.

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa.       (Incluído pela Lei nº 14.132, de 2021)

Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita:

Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. (…)

• 3^o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 2 (dois) a 5 (cinco) anos, e multa.

A despeito dessa possível tipificação, ambos os tipos penais apresentam pontos que merecem cautela dos aplicadores do direito. Primeiramente, em relação ao crime de perseguição, tem-se que que o direito penal deve incidir sobre prática verdadeiramente hostil, reiterada e indesejada que perturbe gravemente a esfera de liberdade e de intimidade do indivíduo, restrinja sua capacidade de locomoção ou ameace sua integridade física ou psicológica, não sendo um requisito objetivo a ciência ou não da vítima sobre a perseguição. Nesta instância, por mais que o sofrimento psíquico da vítima contribua para prova da configuração delitiva, essa conduta é aferida objetivamente, sendo possível que as vítimas tenham sua privacidade invadida, mas não reajam com medo ou com desequilíbrio emocional. Ainda assim, julga-se como problemática a exigência de prova do prejuízo causado pelo stalking, dotado de difícil capacidade probatória frente aos danos comumente psicológicos^[11].

Embora o dispostivo da intrusão informática insira em sua esfera normativa a violação da privacidade em dispositivos informáticos, não se ignora a problemática técnica legislativa da Lei de Crimes Cibernéticos, tampouco a afronta ao princípio da proporcionalidade, em vista da gravidade das penas a serem cominadas^[12]. Afinal, além de não proporcionar uma definição dos termos técnicos, como “invadir”, “dispositivo informático” e “vulnerabilidades”, o tipo penal é restritivo ao associar a instalação de uma vulnerabilidade à aferição da obtenção de uma vantagem ilícita, a qual tampouco foi definida pelo legislador e que nem sempre existiria. Sobre a adequação à forma qualificada, é certo que a prática de stalkerware viabiliza tanto a obtenção de conteúdo de comunicações eletrônicas privadas e outras informações sigilosas, como o controle remoto não autorizado do dispositivo invadido.

Porém, mais do que uma criminalização, a erradicação dessa espécie de cyberstalking que se apropria de aplicativos espiões demanda ações intersetoriais de conscientização e de atendimento especializado às sobreviventes, além de contínuas pesquisas sobre sua abordagem e um maior debate público a respeito de seu enfrentamento.

Envolvendo frequentemente não só questões penais, como litígios cíveis de divórcio e guarda de filhos, torna-se imperativa uma abordagem intersetorial, prezando-se pela colaboração em rede entre as instâncias de justiça e equipe técnica multidisciplinar, a qual facilite o acesso a abrigos, atendimento médico, apoio psicológico, entre outros^[13]. Particularmente no âmbito da violência de natureza digital, em que há uma trivialização do controle tecnológico, é necessário um treinamento dos atores do sistema acerca das novas formas de mau uso dessa tecnologia e de suas repercussões às vítimas, equivocadamente encaradas como menos lesivas que as das violências offline^[14]. Ora, assim como os stalkers adaptaram suas práticas delitivas ao desenvolvimento tecnológico, as estratégias dos operadores do sistema de justiça também devem se modernizar^[15].

A respeito da produção probatória, diante de uma incompreensão da dinâmica da violência de gênero e das técnicas de anonimização do agente, presume-se equivocadamente sobre uma elevada capacidade de reconhecimento e armazenamento de evidências digitais pela vítima, muitas vezes inacessíveis ou ocultas, cuja maior dificuldade seria, em verdade, convencer as autoridades sobre a existência de um crime^[16]. Nesse contexto, frequentemente são sugeridas soluções improdutivas e estereotipadas que atribuem à vítima a responsabilidade de encerrar a violência, como o fim de um relacionamento abusivo, a mudança do número de telefone ou ainda a interrupção do uso de redes sociais^[17].

E especialmente tratando-se de crime de meio informático, geralmente sua existência somente é percebida após seu cometimento, possibilitando que o agente oculte ou delete seus rastros, o que evidencia a volatilidade dos elementos de prova^[18]. Também importa considerar que nem sempre é seguro que a vítima retenha evidências consigo, à vista do monitoramento de seus aparelhos ou das suas comunicações digitais pelos perpetradores^[19]. Portanto, enquanto ainda não houver elementos suficientes para um indiciamento, essencial que as autoridades policiais não culpabilizem a sobrevivente e encarem com seriedade o stalking, colaborando com a vítima na identificação de evidências e envolvendo-a no processo de decisão em prol de seu empoderamento^[20]. Sem uma mudança institucional da mentalidade sobre a violência de gênero tanto online como offline, dificulta-se a efetividade dos avanços jurídicos-penais.

Notas de Rodapé

^[1] CHATTERJEE, Rahul; DOERFLER, P.; ORGAD, H.; et al. The Spyware Used in Intimate

Partner Violence. 2018 IEEE Symposium on Security and Privacy (SP), 2018.

^[2] SYDOW, Spencer Toth. Curso de Direito Penal Informático: Partes Geral e Especial.

Salvador: Editora JusPodivm, 2022.

^[3] WOODHAMS, Samuel. Spyware: An Unregulated and Escalating Threat to Independent Media. Center for International Media Assistance, 2021.

^[4] DEIBERT, Ronald J. The Autocrat in Your iPhone: How Mercenary Spyware Threatens Democracy. Foreign Affairs, v. 102, n. 72, 2023.

^[5] PARSONS, Christopher; MOLNAR, Adam; DALEK, Jakub; KNOCKEL, Jeffrey; KENYON, Miles; HASELTON, Bennett; KHOO, Cynthia; DEIBERT, Ron. The Predator in Your Pocket: A Multidisciplinary Assessment of the Stalkerware Application Industry. Citizen Lab Research Report No. 119, University of Toronto, jun. 2019.

^[6] BAUER, Jenny-Kerstin; HARTMANN, Ans. Formen digitaler geschlechtsspezifischer Gewalt. In: PRASAD, Nivedita (Ed.). Geschlechtsspezifische Gewalt in Zeiten der Digitalisierung: Formen und Interventionsstrategien. Bielefeld: transcript Verlag, 2021, p. 63-100.

^[7] EYALSALMAN, Ruba Taha. Android Stalkerware Detection Techniques: A Survey Study. IEEE Jordan International Joint Conference of Electrical Engineering and Information Technology, Amman, 2023.

^[8] MANNAN, Mohammad; YOUSSEF, Amr. Privacy Analysis of Technologies Used in Intimate Partner Abuse. Final Report for OPC Contributions Program 2022-2023, University of Concordia, 2023.

^[9] LEITÃO, Roxanne. Technology-facilitated intimate partner abuse: A qualitative analysis of data from online domestic abuse forums. Human–Computer Interaction, v. 36, n. 3, p. 203- 242, 2021; YARDLEY, Elizabeth. Technology-Facilitated Domestic Abuse in Political Economy: A New Theoretical Framework. Violence Against Women, v. 27, n. 10, 2021, p. 1479–1498.

^[10] KÖVER, Chris. Der Feind in der eigenen Tasche: Stalkerware und digitale Überwachung im Kontext von Partnerschaftsgewalt. In: PRASAD, N. (Ed.). Geschlechtsspezifische Gewalt in Zeiten der Digitalisierung: Formen und Interventionsstrategien. Bielefeld: transcript Verlag, 2021, pp. 227-238

^[11] COELHO, Cláudia; GONÇALVES, Rui Abrunhosa. Stalking: uma outra dimensão da violência conjugal. Revista Portuguesa de Ciência Criminal. Coimbra Editora, Coimbra, p. 269-302, 2007.

^[12] REALE JÚNIOR, Miguel (Coord.). Código Penal Comentado. São Paulo: Saraiva Jur, 2ª ed., 2023.

^[13] ALMEIDA, Angélica de Maria Mello de. Aspectos processuais e penais: Lei Maria da Penha. Cadernos Jurídicos, São Paulo, v. 15, n. 38, p. 105-111, jan./abr. 2014.

^[14] O’BRIEN, Wendy; MARAS, Marie-Helen. Technology-facilitated coercive control: response, redress, risk, and reform. International Review of Law, Computers & Technology, p. 1-21, 2024.

^[15] FRASER, Cynthia; OLSEN, Erica; LEE, Kaofeng; SOUTHWORTH, Cindy; TUCKER, Sarah. The New Age of Stalking: Technological Implications for Stalking. Juvenile and Family Court Journal, v. 61, n. 4, 2010.

^[16] O’BRIEN; MARAS, op. cit.

^[17] YARDLEY, op. cit.

^[18] SYDOW, Spencer Toth. Crimes informáticos e suas vítimas. São Paulo, Saraiva, 2015.

^[19] O’BRIEN; MARAS, op. cit.

^[20] FRASER; OLSEN, op. cit.