Cibersegurança nos processos de arbitragem internacional

Os procedimentos de arbitragem internacional representam um meio proeminente de resolução de litígios a nível mundial. Como alternativa aos tribunais tradicionais, oferecem flexibilidade, neutralidade e confidencialidade. Num ambiente em que as partes envolvidas podem pertencer a jurisdições diferentes, a arbitragem proporciona um quadro imparcial e eficiente para a resolução de litígios comerciais e jurídicos. Os processos de arbitragem são regidos por acordos entre as partes e são conduzidos segundo regras específicas. A escolha de especialistas na matéria como árbitros e a aplicabilidade de tratados internacionais aumentam a complexidade do processo.

Embora estes procedimentos tenham estado sempre imersos na necessidade de salvaguardar a confidencialidade da informação associada ao processo, o contexto digital impõe a contínua adaptação da proteção ao cenário evolutivo das ameaças que, como veremos, podem ter origem em intervenientes não habitualmente associados à cibercriminalidade.

A proteção da informação assume, assim, uma relevância incontornável, colocando desafios específicos que exigem soluções inovadoras. Neste artigo, iremos explorar a relação crucial entre a segurança da informação e o processo arbitral, desvendando os principais desafios que se colocam, delineando estratégias essenciais para a preservação de informação sensível e analisando a forma como o constante progresso tecnológico remodela a própria noção de segurança no contexto da arbitragem.

A arbitragem constitui um quadro imparcial para a resolução de litígios comerciais e jurídicos

Por quê?

O interesse de terceiros, partes interessadas ou participantes, em aceder a informações relacionadas com um processo de arbitragem torna os ativos que gerem, armazenam ou comunicam essas informações um alvo inequívoco para os cibercriminosos:

• Enquanto fórum neutro para a resolução de litígios comerciais e de investimento, a arbitragem internacional envolve frequentemente partes que são, elas próprias, alvos proeminentes de ataques: grupos multinacionais, governos ou entidades estatais, figuras públicas e ONG.
• Embora o nível e o âmbito da confidencialidade variem, a arbitragem oferece a possibilidade de resolver litígios à porta fechada. Os litígios submetidos a este processo requerem geralmente provas documentais ou periciais que não são do domínio público e que podem ter o potencial de influenciar, por exemplo, decisões políticas, mercados financeiros ou relações comerciais.
• A arbitragem internacional envolve intervenientes de diferentes jurisdições que operam a partir de uma variedade de contextos. São normalmente grandes equipas transfronteiriças de advogados, consultores, árbitros e profissionais altamente móveis que trabalham em ambientes que podem facilitar o sucesso de um ataque.

Quem?

A informação utilizada nos processos de arbitragem internacional pode ser de grande interesse para várias entidades e intervenientes devido ao seu carácter confidencial e potencialmente influente.

• Ativistas, indivíduos ou grupos motivados por uma causa social ou política. Consoante o motivo ou o objeto do processo de arbitragem, podem visar reformas económicas, sociais, políticas ou ambientais e procurar obter informações que possam utilizar para atingir os seus objetivos.
• Estados ou agentes estatais, que procuram obter informações que lhes permitam fazer avançar a sua própria agenda política ou alcançar uma posição privilegiada em relação a outros países ou regiões.
• Cibercriminosos, que normalmente efetuam ciberataques para obter ganhos financeiros, quer mantendo a informação como resgate, quer roubando-a para a vender a terceiros interessados. A obtenção de uma versão preliminar de uma decisão arbitral antes da sua divulgação às próprias partes pode ser muito lucrativa para os cibercriminosos.
• Por último, os próprios adversários nos processos de arbitragem internacional. É possível que as partes comerciais ou individuais numa arbitragem tentem obter ilegalmente informações contra os seus adversários, a fim de obterem uma vantagem no processo de resolução de litígios.

Os activos que gerem esta informação são um alvo claro para os cibercriminosos

As consequências

Todos os incidentes de segurança têm um impacto significativo numa organização, independentemente da sua magnitude. Estes eventos comprometem a integridade, a privacidade e a confidencialidade da informação. Mesmo incidentes aparentemente menores podem ter um efeito dominó que leva a consequências importantes. No domínio da arbitragem internacional, o impacto de um incidente de segurança não é menos significativo:

• Perdas económicas: Os processos de arbitragem envolvem frequentemente informações altamente sensíveis e montantes económicos relevantes. Para as partes envolvidas, quase sempre empresas de âmbito e dimensão internacional, o impacto de um incidente de segurança pode causar graves prejuízos económicos, frustrar estratégias de negócio ou influenciar a cotação das suas acções nos mercados financeiros.
• Impacto reputacional: Quando um incidente de segurança vaza informações sensíveis, o dano reputacional para árbitros, advogados e instituições é inevitável. No caso das sociedades de advogados, mesmo que resolvam a situação de forma rápida e diligente, os danos afetarão as expectativas comerciais futuras, uma vez que o incidente fica ligado à história da organização. De um modo geral, a confiança no próprio sistema de arbitragem pode ser posta em causa se os incidentes ocorrerem de forma recorrente em diferentes processos e envolverem múltiplos intervenientes.
• Responsabilidade legal: A natureza transnacional dos procedimentos significa que as partes estão vinculadas a uma vasta gama de legislação. O impacto de um incidente pode envolver o incumprimento de leis e quadros regulamentares, como o Regulamento Geral sobre a Proteção de Dados (RGPD), que têm frequentemente um regime de sanções associado.
• Incumprimento contratual: As partes envolvidas em processos de arbitragem estão normalmente sujeitas a obrigações contratuais de proteção de informação sensível e confidencial a que têm acesso devido ao processo de arbitragem. Aliás, no caso dos mandatários judiciais, a ética profissional impõe a confidencialidade em tudo o que diga respeito ao processo e ao seu cliente, sendo que nalguns países, como os EUA, esta é não só uma obrigação ética como também uma obrigação contratual implícita.

Em julho de 2015, o Tribunal Permanente de Arbitragem (TPA) de Haia estava a conduzir um processo entre a China e as Filipinas. Um ataque, atribuído à China, ao website do TPA significava que qualquer utilizador que visitasse o website poderia ser potencialmente infetado por malware que permitiria à China aceder a todas as informações no seu computador. Ao infetar os computadores de jornalistas, diplomatas, advogados e outras partes envolvidas ou interessadas, a China conseguiu aceder aos nomes das pessoas que acompanhavam o processo e antecipar a sua posição perante o Tribunal.

A resposta

As diferentes instituições envolvidas nos processos de arbitragem têm trabalhado no desenvolvimento de enquadramentos, protocolos, instruções e recomendações com o objetivo de garantir a segurança da informação relacionada com estes processos. A mais relevante destas iniciativas é o chamado "Protocolo 2020", desenvolvido pela ICCA-NYC, que define um quadro para os participantes alcançarem e manterem um nível razoável de cibersegurança durante os processos de litígio.

No entanto, embora o protocolo seja útil para realçar a sensibilização e a necessidade de uma estratégia de cibersegurança nas partes, ainda está longe de ser perfeito:

• Exige que os tribunais definam as medidas de cibersegurança a aplicar em cada caso individual e a cada uma das partes, o que está obviamente para além das capacidades e competências dos tribunais.
• A sua aplicação pode ser incoerente de caso para caso, tornando difícil a aplicação de medidas de cibersegurança entre partes que estão frequentemente envolvidas em vários processos de arbitragem em simultâneo.
• Por último, embora seja inevitável alguma incoerência, uma grande disparidade na exigência de medidas de cibersegurança aos intervenientes por parte de diferentes tribunais, ou mesmo em processos individuais no mesmo tribunal, pode afetar negativamente a fiabilidade, eficácia e previsibilidade do regime de arbitragem e, a longo prazo, a sua credibilidade.

A iniciativa mais interessante é o "Protocolo 2020", mas está longe de ser perfeita

“Last but not least”

A cibersegurança, ou a falta dela, para as partes envolvidas na arbitragem internacional pode afetar a legitimidade dos procedimentos e corroer a confiança nas instituições e no próprio sistema de resolução de litígios. Para as partes, um incidente de cibersegurança pode significar a divulgação de informação sensível, a quebra de confiança dos seus clientes, referências mediáticas negativas e incumprimento regulamentar.

Qualquer empresa do setor jurídico, sociedade de advogados, boutique jurídica, entidades de serviços de consultoria e assessoria, árbitros e advogados devem ter uma abordagem estratégica para identificar, avaliar e mitigar os riscos relacionados com a gestão da informação, implementá-la de forma eficaz e eficiente e apoiá-la com certificações como a ISO 27001 para sistemas de gestão da segurança da informação.

A certificação ISO 27001 é uma norma reconhecida a nível mundial que demonstra a implementação das melhores práticas de segurança por parte de uma organização, proporciona aos seus clientes a confiança necessária e reforça a reputação e a competitividade da organização no mercado.

A certificação ISO27001 garante a segurança da informação

Para tal, é obviamente essencial ter um fornecedor que esteja empenhado no modelo, que assuma a liderança na orientação e no apoio à organização em todas as etapas da definição, implementação e certificação de uma estratégia adequada e que disponha de uma equipa de especialistas do setor que trabalhem em estreita colaboração com o cliente para compreender as suas necessidades específicas e conceber uma estratégia adaptada ao seu ambiente.
Na Izertis, oferecemos soluções de segurança cibernética para nossos clientes, monitorando continuamente as infraestruturas para detectar antecipadamente possíveis ameaças e riscos.