Conceitos · Pedro Doria

Lei, Engenharia e Plataforma — Como os Vazamentos de Nudes Deixaram de Ser Epidemia

Leitura de 12 min

Lei, Engenharia e Plataforma — Como os Vazamentos de Nudes Deixaram de Ser Epidemia

Entre 2012 e 2017, dois episódios — o caso Carolina Dieckmann, no Brasil, e o Fappening, nos Estados Unidos — transformaram o vazamento não-consentido de imagens íntimas de celebridades num problema público. Ambos terminaram em condenações, novas leis e mudanças profundas na engenharia de serviços de nuvem. O curioso é que, desde então, episódios da mesma escala simplesmente pararam de acontecer.

O interesse para este vault é menos jurídico do que conceitual. O caso é um dos raros em que dá para demonstrar, com datas e nomes, que mudar o comportamento da internet exige três camadas agindo juntas: lei, engenharia e política de plataforma. Nenhuma das três, isolada, teria resolvido. É um contra-argumento útil tanto ao tecno-solucionismo (“é só criptografar”) quanto ao legalismo (“é só criminalizar”).

A arquitetura do argumento vale também para outros problemas que a internet um dia pareceu incapaz de conter e que hoje quase não se discute: spam, pirataria de música, phishing bancário. O padrão é sempre o mesmo — o vetor só fecha quando as três camadas se ajustam, e fica aberto quando uma delas falha.

O precedente esquecido — Ribeirão Preto, 2001

Antes de haver camadas, havia o vazio que as camadas viriam preencher. O caso paradigmático desse vazio no Brasil é anterior a Dieckmann em mais de dez anos: em agosto e setembro de 2001, circularam por email, pelo portal no.com.br, por disquetes vendidos em camelôs e até pelo canal Sexy Hot da Net cabo, sequências de fotos íntimas de um grupo de casais da elite de Ribeirão Preto — o material ficaria conhecido como “Suruba de Ribeirão Preto”, depois rebatizado pelo portal como Historinha picante.

A investigação do 6º DP local, sob o delegado José Gonçalves Neto, concluiu em 5 de setembro de 2001 que as fotos seriam montagens digitais. A perícia foi feita por três peritos de São Paulo contratados pelos advogados dos próprios envolvidos — detalhe que revela a natureza do desfecho. Não houve denúncia, indiciamento, condenação criminal nem ação civil pública. O caso morreu em inquérito.

O interesse desse precedente para o argumento deste ensaio é pela negativa: em 2001, nenhuma das três camadas existia. Sem Lei Carolina Dieckmann (tipificação), sem Marco Civil (remoção sistemática), sem iCloud e sem 2FA (vetor técnico a mitigar), sem Reddit ou Twitter para banir. A única saída disponível foi extrajurídica — perícia da defesa, versão oficial conveniente, silêncio da imprensa grande, e o tempo passando. É o estado zero das três camadas, e o caso é instrutivo justamente por mostrar o que acontece quando nenhuma delas está de pé. Detalhes, fontes e caminhos de reconstituição em O Caso Ribeirão Preto 2001 — O Precedente Esquecido dos Vazamentos Íntimos.

O caso Carolina Dieckmann (2012)

Em maio de 2012, 36 fotos íntimas da atriz Carolina Dieckmann foram publicadas em sites diversos. A narrativa inicial — de que as fotos teriam saído de um notebook levado para manutenção — caiu rápido. A investigação da Delegacia de Repressão aos Crimes de Informática do Rio de Janeiro concluiu que o computador dela havia sido invadido remotamente e as fotos extraídas de um email pessoal. Antes da publicação, os invasores tentaram extorqui-la: pediam R$ 10 mil para não divulgar. Ela recusou e foi à polícia.

O método era primário. Phishing e engenharia social — não havia nada sofisticado na operação. Quatro suspeitos foram identificados pelo rastreamento de IPs. Dois em Minas Gerais, dois em São Paulo, todos homens jovens, entre 19 e 25 anos. Nenhum tinha qualquer conhecimento técnico notável.

O problema judicial veio em seguida: não havia, no Código Penal brasileiro, tipificação específica para invasão de dispositivo informático. Os acusados foram indiciados por furto (as fotos como “coisa”), extorsão qualificada e difamação — construções jurídicas que já vinham sendo esticadas havia anos para cobrir crimes digitais. As penas foram brandas: prestação de serviços à comunidade e multa. Nenhum foi preso.

A resposta legislativa foi rápida pelos padrões brasileiros. O projeto de lei que virou a Lei 12.737/2012 tramitava desde 2011, mas ganhou urgência depois do caso. Foi sancionada por Dilma em 30 de novembro de 2012 e entrou em vigor em abril de 2013. Criou os artigos 154-A e 154-B do Código Penal, tipificando “invasão de dispositivo informático alheio”. A pena — 3 meses a 1 ano, com aumento em caso de prejuízo — foi criticada como baixa demais. Mas a lei cumpriu sua função simbólica: deu nome ao crime.

A ironia do caso é que a própria Carolina Dieckmann não viu seus invasores condenados pela lei que leva seu nome. O princípio da anterioridade impediu. A lei veio tarde demais para ela, cedo demais para o Brasil — que em 2014 sancionaria também o Marco Civil da Internet e, em 2018, a LGPD, fechando um arcabouço mínimo de proteção de dados pessoais.

O Fappening (2014)

Em 31 de agosto de 2014, um usuário anônimo publicou no 4chan uma primeira leva de fotos íntimas de celebridades americanas. Em 24 horas, o material migrou para o Reddit, onde um subreddit chamado /r/TheFappening ultrapassou cem mil assinantes em menos de uma semana. No total, quase 500 imagens de cerca de 100 celebridades — Jennifer Lawrence, Kate Upton, Kirsten Dunst, Kate Bosworth, Ariana Grande, entre outras — circularam pela rede em poucos dias.

A primeira hipótese, amplificada pela imprensa, foi a de uma brecha no iCloud. A Apple investigou e divulgou, em 2 de setembro, uma nota dizendo que não havia “breach” nos sistemas dela: tratava-se de “ataque direcionado” a contas individuais. O vetor era, de novo, phishing — emails falsos simulando a Apple, pedindo credenciais — combinado com adivinhação de perguntas de segurança a partir de informações públicas das vítimas (nome do cachorro, cidade natal, nome do primeiro namorado). Jennifer Lawrence não foi hackeada no sentido técnico. Ela foi enganada.

O FBI entrou no caso em setembro de 2014. Identificou quatro suspeitos ao longo de dois anos:

  • Ryan Collins, da Pensilvânia, responsável por acessar mais de 570 contas do iCloud e Gmail, incluindo as de celebridades. Declarou-se culpado em março de 2016 e foi condenado, em outubro do mesmo ano, a 18 meses de prisão.
  • Edward Majerczyk, de Chicago, condenado a 9 meses em janeiro de 2017.
  • Emilio Herrera, da Califórnia, condenado a 16 meses em 2017.
  • George Garofano, de Connecticut, condenado a 8 meses em 2018.

Todos foram acusados sob o Computer Fraud and Abuse Act (CFAA), de 1986 — a lei americana de crimes informáticos existia havia quase três décadas. Nenhum foi formalmente acusado de ter distribuído as fotos. O que publicou o material no 4chan nunca foi conclusivamente identificado. A hipótese do FBI, em documentos posteriores, é de que existia um mercado fechado de trocas de imagens roubadas (“celeb ring”), do qual os quatro faziam parte — e que alguém desse circuito, em algum momento, levou o acervo a público.

A reação das empresas

A Apple reagiu em velocidade atípica. Em 5 de setembro de 2014, cinco dias depois do primeiro post no 4chan, Tim Cook concedeu uma entrevista ao Wall Street Journal anunciando mudanças no iCloud:

  • Notificações por email e push toda vez que uma conta é acessada de um dispositivo novo.
  • Alerta quando um backup completo é baixado.
  • Pressão para adoção de autenticação de dois fatores (2FA), que antes era opcional e escondida. Ao longo dos dois anos seguintes, a Apple transformou 2FA em padrão para todas as contas novas.

O Google fez movimento paralelo, reforçando o “Security Checkup” e tornando 2FA mais agressivamente recomendado. Em 2017, começou a empurrar chaves físicas (Titan Key) para funcionários e usuários de alto risco.

As plataformas de distribuição também mudaram. O Reddit baniu /r/TheFappening em 6 de setembro de 2014, alegando violação de política contra conteúdo publicado sem consentimento — ainda que a decisão tenha sido confessadamente motivada pelo volume de pedidos DMCA que inundaram os servidores. O 4chan, historicamente refratário a qualquer moderação, passou a responder DMCA com maior velocidade. O Twitter suspendeu contas que redistribuíam o material, embora com atraso.

A ordem importa. A Apple só se mexeu porque havia processo federal em curso, exposição pública massiva e risco reputacional direto. A engenharia sozinha não teria mudado — foi a ameaça jurídica e a cobrança pública que tornaram o custo da inação maior que o custo da correção.

A reação dos legisladores

Nos Estados Unidos, não houve uma “Lei Fappening” federal imediata. Mas entre 2014 e 2018, 46 dos 50 estados americanos aprovaram alguma forma de lei contra “revenge porn” e distribuição não-consensual de imagens íntimas. Em nível federal, o SHIELD Act — proposto por Kamala Harris em 2016, engavetado, reapresentado em 2019 — só foi aprovado em 2022, como parte da reautorização do Violence Against Women Act. A criminalização federal, nos EUA, veio com oito anos de atraso.

No Reino Unido, o Criminal Justice and Courts Act de 2015 criminalizou distribuição não-consensual com pena de até dois anos. A Austrália fez o mesmo em 2018. A Coreia do Sul, com a epidemia de molka (câmeras escondidas), endureceu sua legislação em 2017 e 2019.

No Brasil, a Lei Carolina Dieckmann foi só o primeiro passo. Em 2018, a Lei 13.718 tornou crime a divulgação de “cena de nudez ou ato sexual”, com pena de 1 a 5 anos — tipificação muito mais severa que a invasão de dispositivo. O arcabouço brasileiro, no papel, é hoje comparável ao europeu. O problema é aplicação: delegacias especializadas em crimes cibernéticos existem em poucos estados, investigações demoram anos, e o perfil típico do vazamento brasileiro mudou — deixou de ser hacker e passou a ser ex-parceiro.

Os casos posteriores — e por que são outros casos

Em março de 2017, emergiu o que a imprensa chamou de Fappening 2.0. Fotos de Emma Watson, Amanda Seyfried e outras atrizes apareceram em fóruns similares. A escala foi dramaticamente menor — dezenas de imagens, não centenas —, e o vetor era diferente: as vítimas relataram que os arquivos vieram de phishing contra pessoas no círculo próximo (maquiadores, cabeleireiros, assessores) que tinham cópias das fotos em seus próprios dispositivos. O iCloud direto, protegido agora por 2FA, havia deixado de ser viável.

O padrão se repetiu em pequena escala nos anos seguintes: Miley Cyrus, Kristen Stewart, vazamentos esporádicos envolvendo atores e atrizes menos conhecidos. Nenhum gerou subreddit de cem mil assinantes. Nenhum saiu do nicho dos fóruns para o noticiário mainstream por semanas a fio, como o Fappening. A remoção se tornou rápida: o Reddit banne em horas, o Twitter suspende contas automaticamente via hashes conhecidos, motores de busca processam DMCA em escala industrial.

No Brasil, o padrão foi outro. Depois de Dieckmann, os grandes vazamentos envolvendo figuras públicas deixaram de ser invasões remotas e passaram a ser revenge porn — ex-namorados, ex-maridos, ex-clientes com acesso original às imagens. São casos que a Lei 13.718 cobre, mas que a engenharia não tem como prevenir: não há 2FA contra uma pessoa que legitimamente teve acesso e decidiu distribuir.

Isso é significativo. O problema não foi “resolvido” — migrou. A camada que o resolveu (engenharia de nuvem + jurisprudência do CFAA + política de plataforma) fechou o vetor específico de 2014. O vetor remanescente — intimidade compartilhada por confiança — exige outro mix: lei criminal robusta, educação midiática, e plataformas que derrubem o material rápido. Duas das três camadas estão de pé. A terceira (educação) é o buraco.

O padrão generalizável

O caso dos vazamentos íntimos é um dos vários em que a internet foi descrita como “incontrolável” e que deixou de ser problema de primeira página. A lista é curta e instrutiva:

  • Spam, resolvido pela combinação de CAN-SPAM Act (2003), filtros bayesianos do Gmail (2004 em diante), e reputação de IP usada pelos grandes provedores. Nenhuma das três camadas sozinha bastou.
  • Pirataria de música, resolvida pela combinação de DMCA (1998), iTunes/Spotify como alternativa legal (2003, 2008), e takedowns automáticos no YouTube via Content ID (2007).
  • Phishing bancário de primeira geração, reduzido pela combinação de 2FA bancário obrigatório, detecção de domínios falsos pelos navegadores, e jurisprudência que passou a responsabilizar bancos por fraude não evitada.

O padrão é sempre o mesmo: lei cria o custo, engenharia fecha o vetor, plataforma para de hospedar o resultado. Retire qualquer uma das três pernas e o problema volta. Retire só a lei, como aconteceu com deepfakes íntimos antes de 2023, e a engenharia fica sem motivação para mexer. Retire só a engenharia, como no phishing corporativo sem 2FA obrigatório, e a lei pune depois do dano. Retire só a plataforma, como no Telegram até recentemente, e o conteúdo reaparece mais rápido do que sai.

Esse é o argumento conceitual que o caso Dieckmann-Fappening entrega: regulação de internet funciona quando é sistêmica. A ideia de que um problema digital se resolve por lei isolada — frequente na política brasileira — é uma leitura parcial do que produziu os poucos casos de sucesso. A ideia oposta, igualmente frequente no discurso do Vale, de que código é tudo e regulação é ruído, também é.

O que produziu o silêncio atual sobre vazamentos de celebridades em nuvem não foi um argumento moral sobre privacidade. Foi uma conjunção rara de três camadas agindo em simultâneo, puxadas por um escândalo grande o bastante para gerar pressão em cada uma. Quando o problema aparece de novo — e ele sempre aparece de novo, em outra forma — é essa conjunção que precisa ser reconstruída.

Ver também

Visão de gráfico

Backlinks