O presente artigo analisa os desafios contemporâneos do Direito Internacional diante da crescente complexidade das operações cibernéticas. A partir do estudo do caso Andariel discute-se a dificuldade de atribuição estatal, as implicações para a soberania e o princípio da não intervenção, bem como a ausência de consenso entre Estados sobre a natureza jurídica dessas normas no ciberespaço. Examinam-se ainda o papel do Grupo de Peritos Governamentais da ONU (GGE) e as limitações das normas não vinculantes até hoje produzidas. Argumenta-se que a falta de clareza normativa e a fragmentação das interpretações estatais favorecem a impunidade e dificultam a responsabilização internacional, destacando-se a necessidade de avanços regulatórios, maior transparência e fortalecimento da cooperação multilateral.
Sumário
Introdução
O avanço tecnológico das últimas décadas tornou o mundo mais digital e interconectado, elevando o ciberespaço a um tema cada vez mais relevante nas relações internacionais. Apesar dos inúmeros benefícios proporcionados por esse progresso, é necessário reconhecer as vulnerabilidades que o acompanham e, a fim de canalizar o tema desse artigo, a vulnerabilidade que afeta os Estados no ambiente digital. Nesse contexto, destacam-se os desafios enfrentados pelo Direito Internacional para regular as práticas de ciberataques e responder adequadamente às ameaças que atingem diversos atores internacionais.
No primeiro capítulo, será analisado o caso Andariel — grupo de hackers supostamente vinculado à Coreia do Norte — que evidencia as dificuldades de atribuição estatal, os desafios na caracterização jurídica das intrusões e as implicações para a responsabilidade internacional. No segundo capítulo, serão apresentados os principais conceitos do Direito Internacional aplicáveis ao domínio cibernético, com ênfase na soberania, no princípio da não intervenção, na coerção e nos critérios para atribuição de operações cibernéticas a um Estado. Além disso, discutem-se as diferentes interpretações atribuídas a cada um desses conceitos quando relacionados ao ciberespaço.
No terceiro capítulo, será discutido o debate internacional sobre a aplicabilidade do Direito Internacional ao ciberespaço, na ausência de consenso entre os Estados e nas limitações das normas não vinculantes atualmente existentes, evidenciando a necessidade de criar novos mecanismos e maior clareza nas normas relativas ao ambiente digital. Por fim, a conclusão retoma os principais argumentos desenvolvidos ao longo do artigo, fortalecimento da cooperação multilateral e criação de mecanismos mais eficazes para promover estabilidade e responsabilização no domínio cibernético.
Seguindo esses objetivos, este estudo adotará uma abordagem qualitativa, através da análise de documentos e dados indutivos, para investigar os desafios da jurisdição internacional dentro do ciberespaço. A coleta de dados foi realizada de forma secundária, através da análise bibliográfica de jornais, livros, periódicos e dissertações, proporcionando uma abordagem mais aprofundada e contextualizada do tema (Creswell, 2010).
Conceitos e casos de ciberataques
Para iniciar a discussão sobre as implicações jurídicas dos eventos cibernéticos no âmbito internacional, é fundamental estabelecer uma base conceitual clara. Em suma, um ciberataque pode ser definido como uma ação intrusiva, geralmente originada de um sistema informático, que visa adquirir, degradar ou destruir dados e informações, bem como as infraestruturas tecnológicas (computadores, redes, sistemas e equipamentos eletrônicos interconectados ou que partilham recursos) onde estas residem (Moreira, 2012). Esses ataques representam uma ameaça crescente à segurança nacional e à estabilidade internacional, demandando uma análise aprofundada de suas ramificações legais no cenário global.
Já o ciberespaço pode ser descrito como um “domínio global” ou “quinto domínio”, o qual carece de fiscalização e possui natureza virtual. Sugere-se que ele engloba altos mares e o espaço aéreo internacional no sentido de construir um “bem comum global” (Thomson, 1995). No entanto, essas características não são tão úteis em contextos jurídicos, pois ignoram as características territoriais do ciberespaço e das operações cibernéticas, as quais implicam o princípio da soberania (vide p. 04). Em particular, os especialistas observaram que, embora as atividades cibernéticas possam atravessar múltiplas fronteiras ou ocorrer em águas internacionais ou no espaço aéreo internacional, todas são conduzidas por indivíduos ou entidades sujeitas à jurisdição de um ou mais Estados (Thomson, 1995).
Para analisar melhor o impacto do ciberataque dentro do Direito Internacional, faz-se uso de um caso que serve como exemplo, tanto para facilitar o entendimento do conceito de ciberataque e como ele se aplica na prática, quanto para demonstrar a atualidade do tema e a importância que esse tem dentro das relações entre os Estados. Vale mencionar que tal exemplo não foi escolhido por questões de preferências políticas, mas sim pela atualidade do ocorrido e por ainda ser um caso de repercussão no momento, visto que o grupo de hackers citado ainda pratica tais atividades.
O caso que aqui se menciona aconteceu em 2024, quando os Estados Unidos, o Reino Unido e a Coreia do Sul alegaram que a República Popular Democrática da Coreia (Coreia do Norte) estaria apoiando ataques cibernéticos para promover suas ambições militares e nucleares. Alegavam também que os ataques se estendiam ao Japão e à Índia (Milmo; Hern, 2024). O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC, s.d.) alegava que os hackers tinham como alvo principal informações militares sensíveis e de propriedade intelectual de áreas como: nuclear, defesa, aeroespacial e engenharia. De acordo com o NCSC, o grupo responsável por esses ataques tem como nome Andariel. O órgão também acreditava que Andariel fazia parte do gabinete geral de reconhecimento da Coreia do Norte, vinculando, dessa maneira, o envolvimento do Estado norte-coreano aos ataques cibernéticos.
Os Estados Unidos afirmaram que os hackers financiam a sua atividade de espionagem por meio de operações de ransomware (um software usado para extorsão por meio de sequestro de dados digitais usando criptografia) (BBC News Brasil, 2024). De acordo com o Departamento de Estado dos Estados Unidos, o grupo Andariel atacou cinco prestadores de serviços de saúde, quatro contratantes de defesa sediados nos EUA, duas bases da Força Aérea norte-americana e a NASA (Administração Nacional de Aeronáutica e Espaço) (The Korea Times, 2024). Além disso, no relatório da NCSC (s.d.) consta que as motivações da Coreia do Norte na guerra cibernética são divididas entre objetivos militares, de segurança nacional e vantagens financeiras. Os Estados-alvo avaliaram que o grupo Andariel representa uma ameaça contínua a diversos setores em todo o mundo (NSA, 2024).
Para se ter uma dimensão do impacto causado por ciberataques e da relevância que essas práticas têm no funcionamento interno de um Estado, nos ataques de 2024, o Departamento de Estado dos Estados Unidos anunciou uma recompensa de até 10 milhões de dólares por informações sobre Rim Jong-Hyok, um norte-coreano acusado de atacar infraestruturas críticas estadunidenses, como hospitais, órgãos governamentais e contratantes de defesa, e conhecido por estar associado ao grupo Andariel (The Korea Times, 2024).
O grupo Andariel já opera há mais de uma década e não é o único grupo de hackers norte-coreanos. Há notícias de outros envolvimentos e ciberataques de diferentes grupos, em 2022 contra o Japão (Kaspersky, 2022) e em 2014 contra a Coreia do Sul, caso no qual os hackers se infiltraram em sistemas de instituições financeiras e veículos de comunicação sul-coreanos (Kim 2024). Além disso, em dezembro e em maio de 2017, hackers foram acusados pelo governo estadunidense de violar a segurança cibernética global. O ataque de maio paralisou hospitais, bancos e outras empresas; o vírus infectou cerca de 300 mil computadores em 150 países, criptografando arquivos de usuários e exigindo centenas de dólares de seus proprietários para fornecer as chaves de recuperação (The Straits Times, 2017).
A República Popular Democrática da Coreia negou qualquer envolvimento nos ataques, e não há informações que comprovem apoio estatal norte-coreano às operações atribuídas ao grupo, tampouco indícios de que o país tenha sido formalmente responsabilizado por elas. No caso dos ataques de 2017, o porta-voz do governo norte-coreano reiterou publicamente essa posição, afirmando: “Como já afirmamos claramente em diversas ocasiões, não temos nada a ver com ataques cibernéticos e não sentimos necessidade de responder, caso a caso, a essas alegações absurdas dos EUA” (The Straits Times, 2017, tradução nossa).
Como visto, diversas fontes informam que o grupo é de origem norte-coreana, mas nunca foi possível de fato comprovar que o Estado esteja por trás ou tenha patrocinado esses atos. Esses exemplos servem para analisar conceitos que permeiam a área do Direito Internacional e levantam debates e questões sobre o princípio da soberania e o princípio da não-intervenção no ciberespaço. Além disso, quando um Estado nega seu envolvimento, até que ponto é possível discutir sobre a responsabilidade estatal e quais normas, se é que alguma, devem ser aplicadas?
Jurisdição e responsabilidade no ciberespaço
Primeiramente, antes de adentrar na análise da jurisdição aplicável, é pertinente esclarecer determinados conceitos do Direito Internacional no contexto do ciberespaço. De acordo com Moynihan (2019), o princípio da soberania estatal aborda o fato de que um Estado possui autoridade suprema sobre sua integridade territorial, igualdade soberana e independência política dentro de seu território. A soberania é vista como um princípio fundamental do Direito Internacional e no que se refere ao contexto desse artigo, em 2013 e 2015, 24 Estados concordaram, nos Grupos de Peritos Governamentais das Nações Unidas (GGE da ONU) (ONU, 2015), que o Direito Internacional, incluindo os princípios de soberania e não intervenção, aplica-se às atividades dos Estados no ciberespaço, assim como no contexto não cibernético. Além dos Estados individualmente, numerosos organismos internacionais também o reconheceram.
Contudo, há um importante detalhe a ser observado. No relatório expedido pelo grupo, consta que: “[…] a indicação de que uma atividade de TIC (Tecnologias da Informação e Comunicação) foi iniciada ou teve origem no território ou na infraestrutura de TIC de um Estado pode ser, por si só, insuficiente para atribuir essa atividade a esse Estado” (ONU, 2015, art. 28, f, tradução nossa), aqui volta-se ao exemplo utilizado no primeiro parágrafo, em que não foi possível comprovar se de fato o Estado norte-coreano está envolvido ou não nos ciberataques comandados pelo grupo Andariel. Esse princípio cria um desafio adicional: ainda que haja fortes indícios técnicos e inteligência compartilhada por EUA, Reino Unido e Coreia do Sul, a falta de provas conclusivas que estabeleçam um vínculo jurídico entre o grupo Andariel e o Estado norte-coreano impede a atribuição formal e, consequentemente, qualquer responsabilização internacional. Desse modo, a discussão sobre a capacidade de um Estado ser responsabilizado por esses ataques se torna central.
Com a publicação do Manual de Tallinn 2.0 em 2017, o debate sobre a soberania dentro do cenário cibernético ganha mais ênfase e passa a ser amplamente discutido (Moynihan, 2019). Esse documento analisa como o Direito Internacional se aplica a operações cibernéticas, tanto em tempo de guerra quanto em tempo de paz. Entretanto, mesmo sendo elaborado por especialistas internacionais em direito, não é um tratado oficial da ONU ou de qualquer Estado (Schmitt, 2017). Assim sendo, ainda há pouca prática estatal pública que ajude a esclarecer esse debate (Moynihan, 2019). Muitos Estados adotam uma “política de ambiguidade e silêncio” em relação à maneira como o Direito Internacional se aplica ao ciberespaço. Alguns chegam a comentar, de modo geral, sobre a aplicação desse direito, mas sem declarar exatamente de que forma consideram aplicáveis os princípios de soberania e da não-intervenção (Moynihan, 2019). Essa postura reflete o desafio enfrentado em situações como a do grupo Andariel, onde a ausência de uma declaração clara sobre a aplicabilidade desses princípios por parte da Coreia do Norte contribui para a incerteza jurídica e a impunidade.
O princípio da não-intervenção é uma consequência lógica do direito à soberania, à integridade territorial e à independência política de todo Estado. A Declaração de 1970 sobre os Princípios de Direito Internacional relativos às Relações Amistosas e à Cooperação entre os Estados estabelece que:
Nenhum Estado ou grupo de Estados tem o direito de intervir, direta ou indiretamente, por qualquer motivo, nos assuntos internos ou externos de outro Estado. Consequentemente, a intervenção armada e todas as demais formas de intervenção ou de tentativas de ameaça contra a personalidade do Estado ou contra seus elementos políticos, econômicos e culturais constituem violação do direito internacional. (ONU, 1970, Resolução 2625, “Declaração sobre Relações Amistosas”, tradução nossa)
Outras fontes do Direito Internacional reforçam esse princípio, como o artigo 8 da Convenção de Montevidéu sobre Direitos e Deveres dos Estados (1933), onde fica acordado que nenhum Estado possui o direito de intervir em assuntos internos ou externos de outro. Apesar de ter sido codificado em vários documentos e tratados internacionais, o princípio da não-intervenção ainda é considerado por estudiosos como “vago” e “difícil de definir” (Moynihan, 2019). Os membros do GGE da ONU aceitaram que a proibição da intervenção que se aplica ao Direito Internacional se aplica igualmente às operações cibernéticas de um Estado em outro Estado, quando essas operações estão abaixo do limiar do uso da força (ONU, 2015, art. 28, b.).
Um importante conceito, para diferenciar os dois acima citados (princípio da soberania e princípio da não-intervenção), é o elemento da coerção. Para que haja violação do princípio da não-intervenção, deve haver coerção dirigida a assuntos de natureza inerentemente soberana, ou seja, assuntos em que o Estado possui autoridade exclusiva, incluindo os sistemas políticos, econômicos, sociais e culturais do Estado (Moynihan, 2019). Isso significa que mesmo ações não violentas ou não militares podem ser consideradas intervenções ilícitas se coagirem um Estado a agir contra sua própria vontade. Em resumo, nem toda violação de soberania constitui uma intervenção proibida. O que de fato distingue a violação de soberania do princípio da não-intervenção é o elemento da coerção.
Assim diz também a Declaração sobre os Princípios de Direito Internacional Relativos às Relações Amistosas e à Cooperação entre os Estados, de acordo com a Carta das Nações Unidas: “Nenhum Estado pode usar ou incentivar o uso de medidas econômicas, políticas ou de qualquer outro tipo para coagir outro Estado, a fim de obter dele a subordinação do exercício de seus direitos soberanos e assegurar dele vantagens de qualquer espécie” (ONU, 1970, Resolução 2625 (XXV), tradução nossa).
A questão aqui é como isso se relaciona com o ciberespaço. Como nos casos anteriores, e sendo a coerção um elemento dentro do princípio da não-intervenção, esse conceito se aplica no ciberespaço da mesma forma que se aplica no Direito Internacional. Segundo o princípio da não-intervenção, o que importa é o próprio comportamento coercitivo em relação aos poderes soberanos de outro Estado (Moynihan 2019). Dessa forma, se um Estado hostil realizar operações cibernéticas coercitivas contra outro Estado, mas não obtiver êxito, ainda assim estaria sujeito ao princípio da não-intervenção, da mesma forma que um ato envolvendo o uso da força que não atinge seu alvo ainda constitui uso da força.
Apesar da gravidade dos ataques atribuídos ao grupo Andariel, não há evidências de que as operações cibernéticas tenham buscado forçar os Estados-alvo a alterar suas políticas públicas ou subordinarem seu exercício de direitos soberanos. As atividades relatadas — espionagem, coleta de dados sensíveis e extorsão via ransomware — não demonstram o elemento de coerção necessário para configurar uma violação do princípio da não-intervenção, conforme interpretado pelo GGE da ONU e pela Declaração de 1970. Assim, baseando-se nessa interpretação, embora os ataques possam ter violado a soberania dos Estados envolvidos, dificilmente atendem ao limiar jurídico da intervenção ilícita.
Dentro do contexto cibernético, existem muitas lacunas e controvérsias sobre as leis a serem aplicadas e sobre como interpretar o Direito Internacional. Alguns estudiosos entendem a coerção no sentido de uma ação ditatorial de um Estado para forçar uma mudança de política, mas essa definição é muito restrita e, por vezes, difícil de atingir (Moynihan 2019). Por isso, esses autores defendem que talvez seja preciso reformular o conceito para que ele se aplique melhor às realidades do ciberespaço, onde os ataques nem sempre envolvem coerção direta, mas ainda assim podem causar sérios danos. Outros autores afirmam que poucas operações cibernéticas seriam consideradas verdadeiras “intervenções” sob essa definição restrita. Por isso, eles defendem que o Direito Internacional deveria dar mais ênfase ao princípio da soberania (Moynihan 2019). Nesse entendimento, mesmo que uma operação cibernética não seja coercitiva, ela pode ser ilegal se violar a soberania do outro Estado (por exemplo, invadindo sistemas governamentais ou comprometendo infraestruturas críticas).
Se aprofundando ainda mais nesse debate jurídico, no Ocidente, há duas correntes de pensamento sobre como o Direito Internacional se aplica à atividade cibernética patrocinada por Estados. A primeira corrente defende que o princípio da não-intervenção se aplica a certas intrusões cibernéticas patrocinadas por Estados e que a atividade pode ser hostil, mas não constitui uma violação do Direito Internacional que gere responsabilidade estatal. Nessa visão, a soberania é um princípio orientador do Direito Internacional que pode guiar as interações entre Estados, mas não equivale a uma norma primária autônoma, pelo menos no contexto cibernético (Moynihan 2019). Já a outra corrente entende que operações cibernéticas abaixo do limiar da não intervenção, ou seja, que não chegam a ser coercitivas, podem ser ilícitas, por configurarem violações da soberania do Estado-alvo, essa seria a abordagem do Manual de Tallinn 2.0 (Moynihan 2019).
No caso do grupo Andariel, há elementos que permitem discutir possível violação da soberania dos Estados atingidos. As intrusões em redes militares, bases aéreas e instituições governamentais dos EUA, Reino Unido e Coreia do Sul constituem, em tese, uma interferência direta em infraestruturas ligadas ao exercício de funções estatais essenciais. À luz da interpretação que entende a soberania como regra jurídica — posição adotada por diversos Estados e refletida no Tallinn Manual 2.0 — tais operações configurariam uma violação da soberania mesmo se não houver coerção ou dano material imediato.
O Reino Unido, por exemplo, reconhece que o princípio da não-intervenção se aplica às operações cibernéticas entre Estados. No entanto, o Reino Unido entende que o princípio da soberania, por si só, não cria uma proibição adicional sobre atividades cibernéticas, isto quer dizer, nem toda violação de soberania é automaticamente ilícita — apenas aquelas que configuram intervenção coercitiva (Moynihan 2019). Nessa lógica, uma intrusão cibernética que não envolva coerção, como espionagem ou uso não autorizado a redes sem causar dano direto, não seria necessariamente uma violação do Direito Internacional.
Já os Estados Unidos, em um memorando de 2017, emitido pelo Conselheiro-Geral do Departamento de Defesa, adotaram uma posição semelhante à do Reino Unido: a soberania não é, por si só, uma regra cuja violação gere responsabilidade internacional no contexto cibernético. No entanto, essa visão entra em tensão com outras declarações oficiais dos EUA, nas quais se reconhece que a soberania tem um papel normativo — ou seja, que pode sim gerar obrigações e proibições jurídicas no ciberespaço (Moynihan 2019).
Há um outro ponto ainda a ser mencionado. Em uma situação em que uma organização internacional realize operações cibernéticas coercitivas contra um Estado, essa organização está sujeita às mesmas regras que proíbem a intervenção nos assuntos internos dos Estados? De acordo com o Manual de Tallinn 2.0, sim. A Regra 66 do manual diz que as organizações internacionais estão sujeitas à proibição de intervenção (Schmitt, 2017) e essa conclusão é apoiada pelo Artigo 2(7) da Carta da ONU, que afirma que as próprias Nações Unidas não têm autoridade para intervir em questões internas de um Estado.
Em contraste, uma operação cibernética oriunda de um Estado e dirigida a uma organização internacional não viola a proibição de intervenção, pois esse princípio diz respeito à proteção de certos aspectos fundamentais da soberania, algo de que apenas os Estados desfrutam (Schmitt, 2017). Apesar dessa distinção teórica, os especialistas alegam que na prática é difícil separar uma operação cibernética contra uma organização internacional de uma operação contra os Estados-membros dessa organização (Schmitt, 2017). Por exemplo, se a infraestrutura digital da organização (servidores, redes) fica em território de um Estado-membro, um ataque cibernético contra uma organização pode indiretamente atingir esse Estado, criando conflitos de responsabilidade e soberania.
Caminhos para a Regulamentação Cibernética
Além do Manual de Tallinn 2.0, que, como já dito, não é um tratado oficial e não tem obrigação jurídica, a iniciativa mais significativa até o momento tem sido o GGE da ONU . O relatório do GGE de 2013 e de 2015 chegou a conclusões importantes sobre o Direito Internacional, incluindo o reconhecimento de que o Direito Internacional, bem como os princípios da soberania e da não-intervenção, se aplicam ao ciberespaço (Moynihan 2019). O grupo também estabeleceu um conjunto de 11 normas voluntárias e não obrigatórias voltadas para o comportamento responsável dos Estados, a promoção de medidas de fortalecimento da confiança e o desenvolvimento coordenado de capacidades em cibersegurança — normas que, posteriormente, foram reconhecidas e apoiadas por diversos Estados e por organizações regionais.
Contudo, o relatório do GGE da ONU de 2017 não alcançou um consenso final, em razão das preocupações manifestadas por alguns Estados quanto à crescente militarização do ciberespaço, especialmente no que diz respeito à aplicação das normas sobre o uso da força e do Direito Internacional humanitário às atividades estatais no domínio cibernético (Moynihan 2019). Essa falta de consenso, coloca em dúvida o futuro das discussões multilaterais sobre cibersegurança e ciberdefesa, e, mais especificamente, sobre a aplicação das normas do Direito Internacional aos fenômenos cibernéticos. Dessa forma, as discussões multilaterais não possuem muito progresso e se misturam em dois principais debates: discussões políticas e estratégicas e discussões jurídicas. A primeira se refere a acordos, normas de conduta e confiança mútua entre Estado, além de interesses de segurança e poder. A segunda se refere a como o Direito Internacional existente se aplica às ações no ciberespaço e quais regras já vinculam os Estados (Delerue, 2018).
François Delerue (2018) defende que o GGE da ONU vinha tratando essas duas discussões dentro do mesmo fórum político-diplomático, o que dificulta o avanço desse tema. Para o autor, os Estados deveriam considerar dissociar esses dois tipos de discussões, sendo que a primeira deveria permanecer no âmbito da diplomacia interestatal, enquanto as discussões sobre o arcabouço jurídico, deveriam ser transferidas para um órgão técnico, formado por especialistas em direito, e não por diplomatas, e para esse caso, ele cita à Comissão de Direito Internacional (CDI) das Nações Unidas.
Essa divergência demonstrou a dificuldade em conciliar as perspectivas de diferentes nações sobre a regulamentação do ciberespaço, levando ao que alguns consideram uma paralisia na busca por normas internacionais vinculativas (Lehto, 2023). Diante da paralisia do GGE de 2017 e da persistente necessidade de criar normas vinculativas no ciberespaço, em 2019 foi estabelecido um novo Grupo de Especialistas Governamentais e de um Grupo de Trabalho de Composição Aberta, ambos com o objetivo de avançar nas discussões sobre o comportamento estatal responsável no ciberespaço e a aplicabilidade do Direito Internacional (Heller, 2022). Esses grupos eram abertos a todos os Estados interessados, e muitos esperavam que ajudasse a trazer clareza sobre os conceitos de soberania, não-intervenção, assim como sobre outras controvérsias do Direito Internacional. Infelizmente os Estados não conseguiram chegar a um acordo e o relatório final simplesmente reafirma a aplicabilidade do Direito Internacional no ciberespaço e estabelece 11 normas voluntárias e não vinculantes de comportamento responsável dos Estados (Heller, 2022).
Como o último relatório não conseguiu alcançar um consenso sobre regras obrigatórias, atualmente não há consenso internacional sobre se a soberania funciona no ciberespaço como uma regra ou como um princípio. Além disso, embora a grande maioria dos Estados adote a primeira posição, eles divergem entre si sobre como a soberania opera como regra no ciberespaço (Heller, 2022). Alguns Estados defendem a soberania absoluta, acreditando que qualquer operação cibernética de baixa intensidade que envolva a penetração de um sistema de computador localizado no território de outro Estado viola a soberania do Estado-alvo. Outros, por outro lado, adotam a ideia de soberania relativa, sustentando que uma operação cibernética de baixa intensidade viola a soberania apenas se causar algum tipo de dano ao Estado territorial (Heller, 2022).
Essas divergências conceituais têm implicações diretas na forma como incidentes como os atribuídos ao grupo Andariel seriam interpretados. Por exemplo, se considerarmos a visão de soberania absoluta, qualquer intrusão cibernética da Coreia do Norte no território de outro Estado, mesmo sem dano aparente inicial, já seria uma violação. Já pela soberania relativa, a alegação de espionagem ou a coleta de informações, como as realizadas pelo Andariel, só configuraria uma violação se causasse um dano significativo ao Estado territorial. A falta de um consenso claro sobre essa definição dificulta saber se uma operação cibernética pode ser considerada ilícita ou não.
Diante desse cenário, a comunidade internacional enfrenta a urgência de estabelecer novos acordos e normas de conduta. Embora as normas voluntárias do GGE e, posteriormente, de um novo Grupo de Especialistas Governamentais em 2019 tenham sido um passo importante, sua natureza não vinculativa limita sua eficácia. A discussão se volta, portanto, para a necessidade de explorar a viabilidade de acordos legalmente vinculativos que estabeleçam limites claros para a conduta estatal no ciberespaço, bem como medidas de confiança e transparência, como a troca de informações sobre doutrinas e incidentes cibernéticos, para reconstruir a confiança entre os Estados.
Além disso, o fortalecimento e a criação de mecanismos multilaterais de prevenção e resposta são cruciais. Isso poderia incluir a institucionalização de centros de coordenação internacional para crises cibernéticas e a ampliação dos esforços de capacitação para auxiliar Estados com menos recursos a protegerem suas infraestruturas críticas. A proposta de François Delerue (2018), de dissociar as discussões políticas das técnicas, direcionando as questões jurídicas para órgãos especializados como a Comissão de Direito Internacional, é um caminho promissor para superar impasses e avançar na construção de um arcabouço legal mais robusto e eficaz para o ciberespaço.
Conclusão
A análise realizada ao longo deste artigo demonstra que o ciberespaço ampliou significativamente as vulnerabilidades dos Estados, ao mesmo tempo em que desafia as estruturas tradicionais do Direito Internacional. Princípios como soberania, não-intervenção e responsabilidade estatal, embora consolidados no plano jurídico clássico, encontram novas camadas de complexidade diante de operações cibernéticas que frequentemente operam abaixo do limiar do uso da força. O caso Andariel evidenciou como essas ambiguidades se manifestam na prática, especialmente no que diz respeito à dificuldade de atribuição e à indefinição sobre o que constitui uma violação jurídica no ambiente digital.
Além disso, observou-se que o debate internacional permanece fragmentado. A ausência de consenso entre os Estados sobre o papel normativo da soberania no ciberespaço, somada à limitação das normas não vinculantes produzidas pelo Grupo de Peritos Governamentais da ONU (GGE), impede o estabelecimento de parâmetros claros para a atuação legítima e ilegítima. Essa falta de clareza favorece a impunidade, permite margens amplas de interpretação e dificulta a criação de respostas coordenadas frente à crescente sofisticação dos ciberataques. Como consequência, o ambiente digital permanece permeado por incertezas jurídicas e assimetrias estratégicas.
Diante disso, torna-se urgente o avanço rumo a um marco jurídico mais sólido e transparente. A separação entre debates políticos e discussões técnico-jurídicas, a ampliação da cooperação multilateral e a busca por instrumentos normativos mais claros constituem passos essenciais para fortalecer a previsibilidade e a estabilidade internacional no ciberespaço. Apenas com o refinamento dessas bases normativas será possível mitigar riscos, promover maior responsabilização e assegurar que o domínio digital não se torne um espaço de impunidade crescente entre os Estados.
Referências
BBC NEWS BRASIL. Os hackers norte-coreanos que tentam roubar segredos nucleares e militares. São Paulo, 2024. Disponível em: https://www.bbc.com/portuguese/articles/c3033l17lqgo. Acesso em: 04 nov. 2025.
CONVENÇÃO DE MONTEVIDÉU SOBRE DIREITOS E DEVERES DOS ESTADOS. Montevidéu, 26 dez. 1933. Disponível em: https://honoriscausa.weebly.com/uploads/1/7/4/2/17427811/convencao_sobre_direitos_e_deveres_dos_estados-12.pdf. Acesso em: 07 nov. 2025.
CRESWELL, John W. Projeto de Pesquisa: métodos qualitativos, quantitativo e misto. 10. ed. Porto Alegre: Sage, 2010.
DELERUE, François. The Codification of the International Law Applicable to Cyber Operations: A Matter for the ILC? ESIL Reflections, v. 7, n. 4, 3 jul. 2018. Disponível em: https://esil-sedi.eu/wp-content/uploads/2018/06/ESIL-Reflection-Delerue.pdf. Acesso em: 10 nov. 2025.
HELLER, Kevin Jon. Low-Intensity Cyber Operations and State Sovereignty in Cyberspace. Copenhagen: Centre for Military Studies, University of Copenhagen, set. 2022. (CMS Report 2022 No. 5). Disponível em: https://cms.polsci.ku.dk/publikationer/low-intensity-cyber-operations-and-state-sovereignty-in-cyberspace/download-cms-rapport/CMS_Report_2022__5_-_Low-intensity_cyber_operations_and_state_sovereignty_in_cyberspace.pdf. Acesso em: 10 nov. 2025.
KASPERSKY. Andariel, a Lazarus subgroup, expands its attacks with new ransomware. Woburn, MA: Kaspersky, 9 ago. 2022. Disponível em: https://www.kaspersky.com/about/press-releases/andariel-a-lazarus-subgroup-expands-its-attacks-with-new-ransomware. Acesso em: 04 nov. 2025.
KIM, Jack. North Korea hacking teams hack South Korea defence contractors – police. Reuters, 23 abr. 2024. Disponível em: https://www.reuters.com/technology/cybersecurity/north-korea-hacking-teams-hack-south-korea-defence-contractors-police-2024-04-23/. Acesso em: 05 nov. 2025.
LEHTO, M. Finland’s views on International Law and Cyberspace: Introduction. Nordic Journal of International Law, Leiden, v. 92, n. 3, p. 456–469, 2023. Disponível em: https://doi.org/10.1163/15718107-20230002. Acesso em: 12 nov. 2025.
MILMO, Dan.; HERN, Alex. North Korea-backed cyber espionage campaign targets UK military. The Guardian, 25 jul. 2024. Disponível em: https://www.theguardian.com/world/article/2024/jul/25/north-korea-backed-cyber-espionage-campaign-targets-uk-military. Acesso em: 05 nov. 2025.
MOREIRA, João Manuel Dias. O Impacto do Ciberespaço como Nova Dimensão nos Conflitos. Lisboa: Instituto de Estudos Superiores Militares, 2012.
MOYNIHAN, Harriet. The application of international law to state cyber-attacks: sovereignty and non-intervention. Londres: Chatham House, dez. 2019. Disponível em: https://www.chathamhouse.org/sites/default/files/publications/research/2019-11-29-Intl-Law-Cyberattacks.pdf. Acesso em: 06 nov. 2025.
NATIONAL CYBER SECURITY CENTRE. NCSC partners Vigilanter on DPRK-sponsored cyber campaign. Windsor: NCSC, [s.d.]. Disponível em: https://www.ncsc.gov.uk/news/ncsc-partners-vigilant-dprk-sponsored-cyber-campaign. Acesso em: 06 nov. 2025.
NATIONAL SECURITY AGENCY (NSA). NSA joins FBI and others to warn of North Korea cyber espionage campaign. Fort Meade (MD), 25 jul. 2024. Disponível em: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3849499/nsa-joins-fbi-and-others-to-warn-of-north-korea-cyber-espionage-campaign/. Acesso em: 05 nov. 2025.
ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Declaração sobre os Princípios de Direito Internacional Relativos às Relações Amistosas e à Cooperação entre os Estados, de acordo com a Carta das Nações Unidas. Resolução 2625 (XXV), 24 out. 1970. Disponível em: https://www.un.org/en/about-us/universal-declaration-friendly-relations. Acesso em: 08 nov. 2025.
ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security. A/70/174. New York: United Nations, 2015. Disponível em: https://undocs.org/A/70/174. Acesso em: 09 nov. 2025.
SCHMITT, Michael N. (ed.). Tallinn Manual 2.0: on the International Law Applicable to Cyber Operations. 2. ed. Cambridge; New York: Cambridge University Press, 2017. Disponível em: https://ilmc.univie.ac.at/fileadmin/…/Michael_N._Schmitt_-_Tallinn_Manual_2.0.pdf. Acesso em: 09 nov. 2025.
THE KOREA TIMES. S. Korea, US, Britain issue joint advisory on NK cyber group activities. Seul, 26 jul. 2024. Disponível em: https://www.koreatimes.co.kr/…/north-korean-cyber-group-activities. Acesso em: 04 nov. 2025.
THE STRAITS TIMES. North Korea rejects US claim, says it is not linked to any cyber attacks. Singapura, 21 dez. 2017. Disponível em: https://www.straitstimes.com/…/north-korea-rejects-us-claim. Acesso em: 04 nov. 2025.
THOMSON, Janice E. State sovereignty in International Relations: Bridging the gap between theory and empirical research. International Studies Quarterly, Oxford, v. 39, n. 2, p. 213–233, jun. 1995.
Conheça os Cursos da Revista aqui.
