Já se passaram oito anos desde que Aaron Swartz se suicidou. Aaron estava acusado de 13 crimes sob o Computer Fraud and Abuse Act (CFAA) por violar os termos de serviço da base de dados de artigos académicos do JSTOR.

Os promotores Stephen Heymann e Carmen Ortiz não contestaram que Aaron teve permissão para aceder aos artigos que copiou. Em vez disso, disseram que a FORMA como ele acedeu (usando um “script” em vez de clicar em links) foi uma violação dos termos de serviço e, portanto, um crime.

Por outras palavras: qualquer empresa pode conjurar um crime do nada, fazendo o utilizador clicar numa novela de lixo ilegível de linguagem jurídica proibindo o uso de um serviço ao qual concedem acesso. Se violar qualquer um desses termos, pode enfrentar uma sentença de prisão.

Isto não é lei como a conhecemos, é um desprezo criminoso do modelo de negócios, e o mais alarmante é que essa interpretação do CFAA não era completamente ridícula, dado o quão mal redigida está essa lei.

Ronald Reagan promulgou o CFAA. Os promotores federais procuravam uma ampla autoridade para punir o “hacking” e elaboraram uma definição absurdamente ampla de cibercrime que lhes daria liberdade para perseguir qualquer pessoa de quem não gostassem.
Eles queriam definir hacking como “exceder a sua autorização” num computador que não lhe pertence. Mesmo em meados da década de 1980, académicos jurídicos e técnicos reconheceram os perigos potenciais de uma definição tão ampla, mas não Ronald Reagan.

Nessa altura, Reagan assustou-se com o filme “Wargames” – sim, aquele com Matthew Broderick – e pediu aos tontos do Congresso e do Senado que lhe enviassem o CFAA. Eles obedeceram, ele assinou, e o CFAA tornou-se lei em 1986.

Nas décadas seguintes, o CFAA tornou-se uma importante fonte de danos à cibersegurança. Investigadores de segurança que auditam sistemas e alertam os seus utilizadores sobre problemas neles foram silenciados com ameaças do CFAA, dando às empresas o direito de veto sobre quem pode criticá-las e como.

Os negócios online monopolistas ameaçam os seus concorrentes com o CFAA. Empresas como o Facebook conseguiram ganhar em tribunal, interpretando o CFAA da mesma forma que os promotores de Aaron o fizeram, transformando as violações dos termos de serviço em violações da lei.

Mas surgiram falhas nesta perigosa interpretação do CFAA. A ACLU e um grupo de jornalistas têm litigado para anular partes da lei desde 2016.

E em 2019, o Tribunal de Recurso do Nono Circuito produziu uma decisão notavelmente boa sobre o CFAA em Hiq v LinkedIn, rompendo com os seus próprios (terríveis) precedentes em Power Ventures e Nosal II.

Mas o principal evento para quem luta contra o CFAA foi este ano no Supremo Tribunal (SCOTUS), onde o caso Van Buren prometeu fazer ou quebrar os piores elementos do CFAA para sempre.

O truísmo “casos difíceis geram leis más” era especialmente verdadeiro em Van Buren. Nathan Van Buren era um polícia desonesto do estado da Geórgia que aceitou um suborno para procurar informações pessoais de uma trabalhadora do sexo na base de dados da polícia estadual numa operação do FBI.

Van Buren pensou que estava a ajudar um criminoso a determinar se a trabalhadora sexual era uma polícia disfarçada.

Van Buren é um homem mau e um polícia mau.

Mas ele não é um hacker.

No entanto, os promotores acusaram-no de acordo com o CFAA, dizendo que embora ele tivesse permissão para aceder à base de dados, fazê-lo para um propósito indevido era um crime de hacking, porque ele “excedeu a sua autorização”.

Isso pode parecer sensato – ou apenas conveniente. Mas se os promotores estivessem certos – se aceder a um computador que se está autorizado a usar, mas de forma não autorizada – é crime, quase todos seriam criminosos.

A teoria do CFAA pelo Departamento de Justiça (DoJ) transformaria a maioria das violações dos termos de serviço em possíveis ofensas com prisão (pense-se na “partilha de senhas do Netflix”). Se os promotores federais ganhassem o poder de ameaçar de prisão para qualquer um – para todos – isto não seria usado para livrar o mundo dos maus polícias.

Em vez disso, seria usado contra pessoas que já suportam o peso do exagero da perseguição, criando vantagens sobre as vítimas pelos maus polícias.

Felizmente, os juízes do Supremo concordaram. Eles proferiram uma boa – se não óptima – decisão no caso Van Buren.

A melhor análise – como sempre – veio dos meus colegas da Electronic Frontier Foundation, Kurt Opsahl e Aaron Mackey.

Como apontam, o cerne da decisão é a proibição de invadir sistemas informáticos – não criminalizando a introdução de comandos errados num computador para o qual se tem permissão de usar.

Esta interpretação correcta (muito mais restrita do que a do DoJ) protege os investigadores de segurança, concorrentes e outros investigadores de fazerem coisas como recolher dados de um site de habitação para investigar preconceitos raciais nos anúncios de arrendamento.

Como o tribunal apontou, a interpretação do DoJ era tão ampla que podia criminalizar o “embelezar um perfil de namoro online pelo uso de um pseudónimo no Facebook”.

A decisão foi boa, mas não perfeita. Uma única nota explica que o tribunal não está a decidir se o CFAA só se aplica quando alguém contorna uma medida técnica, o que deixa a porta aberta para transformar violações de políticas e contratos em crimes.

O SCOTUS entendeu bem (principalmente) aqui. Eles vingaram Aaron Swartz e todas as outras vítimas que foram intimidadas, silenciadas e aterrorizadas pelo CFAA. Eles deram um grande passo para desfazer uma das muitas idiotices de Ronald Reagan.

Van Buren deve ser punido por corrupção – de acordo com a lei anticorrupção, não com uma definição de hacking tão ampla que captura actividades normais nas quais todos nos envolvemos várias vezes, todos os dias.

* Texto original de Cory Doctorow, publicado na Pluralistic e usado sob licença (CC). Foto: Udacity