Andreu Van den Eynde: «El que més em preocupa actualment és el fenomen del Crime-as-a-Service»

Andreu Van den Eynde és advocat especialista en matèria penal i ha participat els últims anys en judicis molt mediàtics com els relacionats amb el Procés o el cas d’espionatge Pegasus. A més, és especialista en dret penal de les TIC i en ciberdelictes, un món al qual va arribar atret per la seva passió per la ciència-ficció i la tecnologia. En aquesta entrevista, parlem amb ell de les dificultats d’investigar i jutjar aquests crims i de la importància de la formació dels advocats en aquest àmbit. El professor col·laborador del Màster de Ciberdelinqüència de la UOC també alerta sobre el fenomen del Crime-as-a-Service i sobre la necessitat de controlar el poder dels estats per protegir els drets humans en l’àmbit digital.

Una de les seves especialitats és el dret penal de les TIC i els ciberdelictes. Com va sorgir el seu interès per aquest tipus de delictes?

Sempre m’ha agradat pensar en com serà el futur. Soc de la generació de Star Wars. M’atrau molt la ciència-ficció i em fascinen les noves tecnologies. Ja fa molts anys, quan encara no es parlava gaire de la ciberdelinqüència, vaig decidir que volia especialitzar-me en això i aprofitar-me de les naturals reticències dels meus col·legues penalistes de “posar-se al dia” per posicionar-me com un expert en aquest camp i ser-ne referent.

Com que m’agrada tant la matèria mai m’ha estat difícil estudiar-la o afrontar un cas amb components tecnològics. M’ho passo molt bé dissenyant estratègies per descobrir què ha passat en un cas en què predominin accions de tipus informàtic o comeses per internet.

Cada vegada hi ha més ciberdelictes, però la gran majoria no arriben a un procés judicial. Per què és tan difícil perseguir aquests casos de manera eficaç?

La ciberdelinqüència té determinades característiques que fan que sigui, en alguns casos, més difícil d’investigar i jutjar. Els problemes tenen a veure amb molts factors: la dificultat d’investigar rastres tecnològics (proves digitals), els problemes derivats de l’ús de tècniques d’anonimització pels delinqüents, els problemes de jurisdicció (moltes investigacions s’han de produir a través de complicades fórmules de cooperació judicial internacional), etc.

Sempre que parlem de ciberdelinqüència com a fenomen hem de prioritzar molt les tasques de prevenció perquè, un cop el delicte s’ha comès, els recursos que tenim per investigar i jutjar els responsables són limitats. 

Un dels reptes de la pràctica jurídica és la identificació de les proves digitals. Com s’enfronta a aquesta problemàtica?

Un dels principals problemes en la investigació tecnològica és identificar on poden trobar-se proves digitals. Per definició, la prova digital és invisible a l’ull humà i, a més, és volàtil (pot destruir-se no només intencionalment sinó pel simple ús de la tecnologia i sense voler).

Per tant, en l’estratègia que dissenyem advocats i pèrits informàtics, una part essencial és intentar esbrinar on trobem evidències digitals que ens permetin explicar els fets i determinar-ne els culpables: converses per internet, per missatgeria instantània, en fòrums, continguts web, historials de recerca a internet, arxius informàtics, metadades d’arxius, contrasenyes custodiades a la memòria dels equips informàtics, dades xifrades, dades esborrades, descobrir identitats rere perfils anònims, etc.

En la seva opinió, la legislació actual és suficient per abordar les complexitats dels cibercrims o hi ha àrees que necessiten reformes o noves regulacions?

Parlar de llacunes legals sempre és molt difícil, perquè normalment el sistema legal té prou recursos per abordar la majoria de les problemàtiques, simplement adaptant la norma al context. Per això entenc que tenim suficients instruments legals per combatre el cibercrim. Una altra cosa és que els sistemes legals sempre requereixen millores i en general les més rellevants tenen a veure amb la recerca d’una harmonització internacional de normes (posar d’acord tots els Estats en les diferents modalitats de ciberdelictes i en les normes d’admissibilitat de la prova digital) i l’afrontament dels nous reptes que suposen la intel·ligència artificial i l’ús de malware sofisticat per cometre delictes.

En aquest sentit, en els últims mesos, els nous models d’intel·ligència artificial generativa han aconseguit uns nivells de realisme impensables en el camp audiovisual. Com pot afectar aquest desenvolupament tecnològic a la confiança i la verificació dels documents audiovisuals com a prova digital?

De vegades oblidem que les proves que han valorat tradicionalment els jutges en la jurisdicció penal tenen nivell de fiabilitat relatiu. Avui en dia els jutges condemnen persones a partir de rodes de reconeixement de sospitosos de molt escassa fiabilitat o a partir de declaracions de testimonis únics.

En aquest context, hem de pensar que els reptes que té el jutge per determinar quan una prova és o no fiable es mantenen com sempre. Simplement, la falsificació de proves ara pot produir-se amb eines tecnològiques i, per tant, haurem de proveir-nos d’altres eines tecnològiques que permetin comprovar si una prova és o no fiable.

Quines són les tendències emergents o nous tipus de cibercrims que més li preocupen?

Actualment, el que més em preocupa és el fenomen del Crime-as-a-Service, és a dir, l’existència de negocis basats en la creació de malware destinat a cometre delictes que és posat a disposició dels delinqüents per facilitar, sense cap coneixement tecnològic rellevant, la comissió d’estafes, d’espionatge informàtic, de sabotatge, etc.

Hi ha empreses que són capaces de crear software maliciós indetectable i imparable, amb el que s’atempta contra interessos molt sensibles. Un dels camps on això em preocupa més és en el de l’espionatge informàtic i intercepció de comunicacions de forma il·legal. Algunes empreses han creat spyware impossible de parar que posa a disposició d’Estats i de màfies la capacitat d’espiar i robar informació de qualsevol persona.

En l’actualitat, es pot exercir el dret sense estar al dia tecnològicament? Quines habilitats i coneixements considera essencials per als futurs advocats?

Sempre dic que un bon advocat penalista és un expert en estratègia, més que no pas en Dret. Els penalistes generem estratègies i el Dret és una de les eines que utilitzem. Però també necessitem conèixer altres disciplines i tenir altres eines que ens permetin excel·lir en la nostra feina i això implica conèixer idiomes, tenir dots d’oratòria i argumentació, saber negociar, etc.

Entre les habilitats i coneixements que hem de tenir, crec que ja no podem obviar saber sobre noves tecnologies, perquè si desconeixem aquest nou “idioma” simplement afrontarem els casos en una situació de debilitat enfront dels nostres adversaris en el procés judicial.

En aquest sentit, ha notat canvis en la formació i preparació en noves tecnologies dels professionals del dret, i especialment dels jutges, en els darrers anys?

Hi ha un petit canvi positiu, però no és suficient. Al meu entendre, la gran problemàtica no té a veure amb la formació d’advocats i jutges, sinó amb les reticències personals que cadascú té vers el fenomen tecnològic. L’expressió que se sent sovint és aquella de “jo no sé de noves tecnologies” com si fos una posició de renúncia, de claudicació. És més aviat una forma de dir “jo no vull saber de noves tecnologies”. Això és un error, perquè el present està absolutament imbuït de les noves tecnologies i les hem de conèixer i aprofitar en tot allò que ens sigui beneficiós.

En el seminari web  “Els cibercrims a judici: La nova prova diabòlica?” va comentar que tecnologies com Alexa o Fitbit cada vegada tenen un rol més important en la resolució de delictes. Quina és la seva visió sobre la millor manera d’equilibrar la privacitat i amb la persecució dels delictes i la justícia?

La millor manera és no oblidar els grans debats de filosofia del Dret i tenir sempre presents els principis fonamentals del sistema democràtic d’acord amb la configuració internacionalment reconeguda dels drets humans.

Des d’aquest punt de vista, haurem de pensar que la privacitat, com a dret humà, òbviament es pot restringir o limitar per perseguir delictes, però sempre s’haurà de controlar que la restricció estigui prevista a una llei, que la limitació persegueixi efectivament una finalitat legítima i, sobretot, que la limitació sigui necessària en una societat democràtica.

Sent això així, estarem d’acord que no tot s’hi val i que els Estats han de procurar protegir la privacitat dels ciutadans i només limitar-la quan hi hagi una necessitat social significativa que, indubtablement, justifiqui una ingerència o limitació del dret.

Forma part d’un cas com Pegasus. Què revela aquest cas sobre l’impacte de les noves tecnologies en els drets fonamentals?

El cas Pegasus ens explica que la tecnologia és molt invasiva i que, a vegades, s’alia amb determinats objectius d’Estat molt qüestionables. Com ja denunciava fa anys Julian Assange, els Estats mai deixaran d’espiar-nos en un context en què no s’enfronten a cap mena de responsabilitat ni jurídica ni política. Fer-ho a través d’eines tecnològiques és molt fàcil tècnicament.

Si no generem escenaris de control dels Estats, els Estats actuaran sempre amb incentius per limitar els drets de la ciutadania.

Si no volem que les distopies de la ciència-ficció es converteixin en realitat hem d’actuar, entre tots, per generar responsabilitats dels Estats i establir sistemes de contrapoder, sobretot amb la implicació massiva de la població, encapçalada normalment pels defensors i defensores dels drets humans.

A tal fi és important seguir les activitats que fan les ONG de protecció de drets humans en l’àmbit digital i els laboratoris d’investigació tecnològica vinculats amb tal defensa: Amnistia Internacional, Irídia, Electronic Frontier Foundation, Digital Freedom Fund, Citizen Lab, etc.