Justiça espanhola encerra caso Pegasus após silêncio de Israel e levanta alerta global sobre espionagem digital
A Justiça da Espanha decidiu pôr fim à investigação sobre o uso do spyware Pegasus contra integrantes do alto escalão do governo espanhol, alegando que a falta de cooperação por parte de Israel tornou impossível avançar no caso. A decisão foi tomada pela Audiencia Nacional, principal corte penal do país, e anunciada nesta quinta-feira, marcando um novo capítulo nas controvérsias internacionais envolvendo o programa de espionagem.
A investigação havia sido aberta em maio de 2022, depois que o governo confirmou que celulares do primeiro-ministro Pedro Sánchez e da ministra da Defesa, Margarita Robles, haviam sido alvo de monitoramento clandestino. Peritos apontaram o Pegasus como a ferramenta utilizada nos ataques, um spyware de alta complexidade capaz de invadir dispositivos móveis sem qualquer ação do usuário — a chamada técnica de ataque “zero-click”, em que nem mesmo é necessário abrir um link ou baixar um arquivo malicioso.
O Pegasus é desenvolvido pelo NSO Group, uma empresa israelense que há anos está no centro de denúncias de espionagem contra chefes de Estado, jornalistas, ativistas de direitos humanos, advogados e membros da oposição em diferentes países. A companhia opera sob um rígido regime de licenciamento do governo de Israel, que autoriza ou veta a exportação de suas ferramentas de vigilância digital. Muitos dos fundadores e engenheiros da NSO têm histórico em unidades de inteligência militar e em estruturas de ciberdefesa do Estado israelense, o que alimenta suspeitas de proximidade entre a empresa e autoridades oficiais.
Nos autos do processo, o juiz José Luis Calama detalha que as autoridades espanholas enviaram cinco pedidos formais de cooperação internacional a Israel, todos eles ignorados. Segundo o magistrado, essa omissão quebra “o equilíbrio inerente à cooperação internacional” e viola o princípio da boa-fé que deveria orientar as relações entre Estados soberanos, especialmente em casos que envolvem segurança nacional e possíveis crimes transnacionais.
A corte destaca que, ao longo da investigação, foram encontrados indícios concretos de que crimes teriam sido cometidos por meio do uso do Pegasus, com potencial para colocar em risco a segurança do Estado espanhol. Entre os atos investigados estavam o acesso não autorizado a dados sensíveis, a interceptação de comunicações oficiais e a extração de informações estratégicas de autoridades do governo. Mesmo assim, sem resposta de Israel, o tribunal concluiu que não havia como identificar quem operou o software, sob quais circunstâncias e com qual objetivo final.
Essa não foi a primeira vez que o caso foi arquivado. A apuração já havia sido encerrada anteriormente pela mesma razão: ausência de cooperação do lado israelense. Entretanto, o processo foi reaberto em abril de 2024, quando autoridades francesas compartilharam elementos de outra investigação sobre o uso do Pegasus em território francês, inclusive contra jornalistas, advogados e membros do governo e do parlamento. As novas informações reacenderam a esperança de que a Espanha pudesse avançar na identificação dos responsáveis.
Além de Pedro Sánchez e Margarita Robles, investigações internas do governo indicaram que também teriam sido espionados os ministros do Interior e da Agricultura. Registros técnicos incluídos no processo apontam que o telefone do primeiro-ministro teria sido comprometido pelo menos cinco vezes, o que sugere uma operação prolongada e possivelmente coordenada. O juiz Calama classificou a recusa de Israel em colaborar como uma “violação manifesta de suas obrigações internacionais”, reforçando que a cooperação judicial é um pilar fundamental no combate a crimes cibernéticos de alta complexidade.
Paralelamente a esse caso, outro processo correndo em Barcelona mantém a NSO Group sob os holofotes. Em março deste ano, um tribunal provisório da cidade determinou o indiciamento de três ex-executivos seniores da empresa por suposto envolvimento em um esquema de espionagem que teria afetado pelo menos 63 integrantes da sociedade civil catalã, incluindo ativistas, advogados, políticos e membros de organizações locais. Essa ação indica que, mesmo com o arquivamento da investigação na Audiencia Nacional, a controvérsia em torno do Pegasus está longe de terminar na Espanha.
O encerramento da investigação espanhola expõe um problema recorrente nas apurações sobre ciberespionagem: a dependência de cooperação internacional para obter dados técnicos, documentação de exportação, históricos de contratos e informações sobre quem, na prática, operou ferramentas como Pegasus. Sem esses elementos, muitos casos acabam parados em uma espécie de “zona cinzenta jurídica”, em que há forte suspeita de crime, mas poucas chances de responsabilização efetiva.
Do ponto de vista da segurança digital, o episódio reforça o alerta sobre o uso de spyware comercial por governos e, potencialmente, por atores não estatais. Diferentemente de malwares comuns, ferramentas como o Pegasus são desenvolvidas para escapar de sistemas de detecção, contornar criptografia e se manter discretas por longos períodos, o que torna o rastreamento posterior extremamente difícil. Quando somado ao sigilo que costuma envolver contratos de venda e à ausência de transparência dos países que autorizam essa tecnologia, o cenário se torna ainda mais opaco.
Especialistas em cibersegurança destacam que a combinação de ataques “zero-click” com a exploração de vulnerabilidades ainda desconhecidas (chamadas de zero-day) coloca até mesmo sistemas atualizados em situação de risco. No caso espanhol, os alvos eram autoridades com acesso a decisões de alto impacto político, informações de defesa e dados estratégicos. Isso levanta dúvidas sobre a extensão real do vazamento de informações e sobre quais interesses podem ter sido atendidos com essa espionagem.
A decisão da Audiencia Nacional também reabre o debate sobre a necessidade de regulamentar, de forma mais rígida, a exportação e o uso de tecnologias de vigilância digital. Organizações de direitos humanos e especialistas em privacidade defendem que ferramentas de espionagem só deveriam ser autorizadas em contextos claramente definidos, com supervisão judicial robusta e mecanismos de transparência que permitam auditorias independentes. Sem isso, a linha entre investigação legítima e abuso político tende a desaparecer.
Para governos, o caso funciona como um alerta de que a proteção de autoridades e de infraestruturas críticas não pode se limitar a políticas internas. É cada vez mais necessário estabelecer padrões internacionais de cooperação em incidentes de ciberespionagem, incluindo prazos e obrigações claras de resposta a pedidos de assistência judicial. Quando um Estado se recusa sistematicamente a colaborar, como apontou o juiz Calama, a própria arquitetura de combate ao crime cibernético perde eficácia.
Para cidadãos e organizações da sociedade civil, o episódio espanhol é um lembrete de que a vigilância digital não é apenas um tema distante, restrito a governos e agências de inteligência. Casos semelhantes em outros países já mostraram que jornalistas, defensores de direitos humanos e opositores políticos são frequentemente incluídos nas listas de alvos. Isso torna essencial a adoção de boas práticas de segurança, como o uso de aplicativos de comunicação com criptografia robusta, atualização constante de dispositivos e treinamento em higiene digital.
Embora o processo específico sobre o ataque ao governo espanhol esteja encerrado, o debate está longe de acabar. A Espanha deve seguir pressionando por respostas em fóruns diplomáticos e multilaterais, enquanto tribunais locais continuam analisando ações relacionadas ao Pegasus e a outras ferramentas de espionagem. Ao mesmo tempo, cresce a percepção global de que o controle sobre o mercado de spyware será um dos grandes desafios regulatórios e políticos da próxima década, em um cenário em que fronteiras digitais são cada vez mais frágeis e a informação se tornou o ativo mais valioso — e cobiçado — dos Estados modernos.