Reviravolta Digital

Reviravolta Digital

Não contes com a E.U. para privacidade e direitos cívis

Teodoro Reviravolta - 2021.11.17
#união europeia #privacidade #direitos cívis #vigilância #democracia #big brother #direitos digitais #inteligência artificial

vigilancia-uniao-europeia

Nenhuma conversa é demasiado secreta

A privacidade no mundo de hoje é 100% um mito. As pessoas que acreditam no contrário simplesmente desconhecem o que realmente se passa por trás dos bastidores.

O que está a ser planeado?

A Comissão da União Europeia está aparentemente a planear ser requirido buscas automáticas de mensagens de chat, e-mails e outras formas de comunicação digital para prevenir a disseminação de representações de abuso de crianças. Os provedores devem detectar e reportar material visual mostrando abuso de crianças. O que é particularmente controverso sobre isto é que provavelmente também se aplicará à comunicação encriptada, ou seja, mensagens enviadas através de aplicações de messenger como o WhatsApp ou até o Signal, por exemplo.

A Comissão da UE queria apresentar um pacote legislativo correspondente contra o abuso infantil no início de Dezembro, mas esta data foi agora adiada. Mediante pedido, o gabinete de imprensa da Comissão não forneceu uma nova data. Patrick Breyer, membro do Partido Pirata do Parlamento Europeu e provavelmente o mais alto opositor da proposta, espera que a proposta chegue no início do próximo ano. De acordo com os relatórios actuais, a discussão continua a borbulhar no fundo, e alguns já vêem indicações de um enfraquecimento dos planos.

Já no Verão, o Parlamento Europeu decidiu que os fornecedores de serviços de e-mail, mensagens ou vídeo-conferência deveriam ter permissão para analisar as comunicações de todos os utilizadores em busca de conteúdos de abuso infantil. Alguns provedores, como o Gmail, já verificam mensagens, mas fazem-no voluntariamente. O Parlamento Europeu também explicou na altura que os textos também podiam ser verificados com a ajuda de inteligência artificial "de forma a detectar se os perpetradores tentaram contactar crianças aqui".

De acordo com o que é conhecido até agora, a Comissária dos Assuntos Internos Ylva Johansson quer obrigar os fornecedores de serviços de comunicação digital a seleccionarem os seus clientes para este fim. Para além disso, a medida deve ser limitada no tempo - e também se aplica a mensageiros encriptados.

O que é que significaria isto exactamente para as minhas mensagens do E-Mail?

Se os planos não forem enfraquecidos, isto significaria que todas as mensagens dos messenger, todos os emails e outras comunicações digitais seriam automaticamente rastreados para ver se contêm material de abuso infantil - pelos respectivos fornecedores de serviços. Os críticos vêem isto como uma grave violação dos direitos fundamentais (ver abaixo). No entanto, na vida quotidiana, o utilizador não deve notar muito disto - a menos que seja detectado o envio de material ilegal de abuso de crianças e que haja consequências.

No entanto, tais requisitos de controlo teriam sérias consequências para uma forte encriptação end-to-end, como a oferecida pelas aplicações messenger Signal e WhatsApp. Isto porque eles são construídos de tal forma que até os provedores não têm qualquer percepção das mensagens enviadas, mas apenas o remetente e o destinatário podem ler o conteúdo do chat. Mesmo que ainda não esteja totalmente claro como será a implementação técnica dos requisitos de scan da União Europeia em termos concretos, os críticos dizem: a forte encriptação destes serviços teria de ser suavizada. Ou por outras palavras: as trocas através destas aplicações de messenger tornar-se-iam menos confidenciais e menos seguras.

Porque é que os críticos estão tão chateados?

Muitas pessoas ficam irritadas porque simplesmente não querem que sejam vistos os emails e mensagens de chat. Especialmente os não encriptados.

A possibilidade de poder comunicar na Internet protegida do olhar dos outros, ou seja, não controlada sem suspeitas, é a base da liberdade de opinião e da democracia, pelo que o argumento é válido. Não é por nada que na Alemanhã o sigilo da correspondência é regulado na Lei Básica, por exemplo. "Imagina se os correios abrissem e digitalizassem as nossas cartas sem suspeitas. Ninguém alguma vez iria apoiar isso", cita o Tagesschau Patrick Breyer, um membro do Parlamento Europeu (Piratas). Breyer é o porta-voz do protesto contra a medida, cunhando o termo "chat control". Outros vêem-no como uma ameaça à privacidade, o que também viola a Carta dos Direitos Fundamentais da União Europeia (Título II - Liberdades - Artigo 7.o).

O político pirata Breyer também critica que os procedimentos a serem usados para a digitalização automática de conteúdos possam ser propensos a erros.

Ninguém que se pronuncie no debate público deve opor-se à preocupação fundamental de impedir a disseminação de representações de abuso de crianças. Muitos peritos em TI, no entanto, dizem que o scan obrigatório planeado por meios técnicos não é o caminho certo a seguir. Eles temem riscos maiores para a segurança informática. Alguns avisam que os hackers criminosos simplesmente mudariam para outros canais de comunicação. Se formos a ver a opinião do supervisor europeu de protecção de dados (ponto 51 e 53) sobre este tópico, mesmo ele está preocupado com o facto de que isto pode realmente acontecer. Outros receiam que não se limite à procura de representações de abuso infantil, mas que em breve possa ser seguida por exigências para usar a medida para detectar também outros conteúdos.

Quem quer controlar o chat?

As associações de protecção das crianças são a favor: Joachim Türk, membro da direcção da Associação Alemã de Protecção de Crianças, argumenta à Business Insider que é necessário um sistema automático de monitorização, tendo em conta o elevado número de dicas sobre violência sexual contra crianças e o pessoal das autoridades de investigação criminal. Falou de um "equilíbrio de interesses legais" em que a integridade das crianças deve ser ponderada contra a protecção de dados pessoais.

O controlo obrigatório do chat também satisfaria o desejo há muito acalentado da polícia e das agências de aplicação da lei de ter mais conhecimentos sobre a comunicação digital das pessoas. Por exemplo, quando as pessoas comunicam através de mensageiros bem encriptados mas fáceis de usar, as autoridades quase não têm tido acesso com eles até agora. Este problema é frequentemente resumido no sector com a palavra de ordem "ficar no escuro". Consequentemente, as autoridades de segurança exigem frequentemente mais acesso às comunicações digitais, por exemplo, aos mensageiros.

A minha comunicação digital não foi já digitalizada para esse conteúdo?

A resposta insatisfatória: Depende.

Fornecedores como o Google e a Microsoft já procuram conteúdos de abuso infantil - em serviços como o Skype, OneDrive e Gmail - sem qualquer suspeita e de forma generalizada. Entretanto, no entanto, não havia uma base jurídica explícita para tal a nível da União Europeia. Por esta razão, o Facebook suspendeu os scans de conteúdos de abuso infantil nas suas mensagens privadas.

Para resolver este problema, a União Europeia adoptou um regulamento em Julho que permite aos fornecedores utilizarem tecnologias específicas para procurarem voluntariamente nos dados dos seus utilizadores imagens, vídeos ou texto que representem abusos documentados de crianças - e depois removê-los e denunciá-los. Estes meios técnicos (ver abaixo) devem interferir o menos possível com a privacidade dos utilizadores, de acordo com uma explicação do Parlamento Europeu. Esta decisão foi limitada a três anos. Os serviços de mensagens que encriptam de ponta a ponta foram excluídos.

Espera-se que isto mude com a anunciada proposta da Comissão: De acordo com os relatórios, está previsto tornar os scans obrigatórios e estendê-los aos mensageiros encriptados, por exemplo, e remover o limite de tempo da medida.

Como é que o scan de mensagens funcionaria tecnicamente?

Uma vez que o projecto concreto do regulamento planeado ainda nem sequer está disponível e os debates sobre ele aparentemente ainda estão em curso, ainda não é possível dizer com certeza. Por exemplo, não se sabe se os fornecedores de serviços de comunicação terão de cumprir certos requisitos técnicos ao digitalizarem ou se lhes será permitido decidir por eles próprios como verificar.

Os métodos já utilizados hoje em dia para detectar representações de abuso infantil e outras violações da lei na Internet oferecem pistas. Por exemplo, as impressões digitais únicas, também conhecidas como hashes, são frequentemente utilizadas. Tais hashes são criados a partir de material de imagem que já foi classificado como problemático e são armazenados em bases de dados. Quando uma pessoa carrega ou envia uma foto ou vídeo, é feita uma comparação de hash contra a base de dados de imagens de abuso. A ideia é que já é evidente quando se envia ou carrega material ilegal que está a ser divulgado. O fornecedor pode então parar isto e notificar a polícia. Este procedimento é também mencionado na exposição de motivos do regulamento de digitalização voluntária já aprovado pelo Parlamento da União Europeia.

Grandes empresas como a Microsoft, Google ou Twitter já utilizam procedimentos de hashing, e o US National Center for Missing and Exploited Children, NCMEC, que mantém uma importante base de dados de hash para imagens de abuso já conhecidas, desempenha um papel importante. A correspondência tem lugar nos servidores dos respectivos prestadores de serviços.

Se, por outro lado, caso queiras digitalizar conteúdos que são transmitidos encriptados de ponta a ponta, as possibilidades são significativamente reduzidas - que é precisamente o objectivo de tal comunicação confidencial. A abordagem mais grosseira seria obrigar os fornecedores de tais mensageiros a construir uma porta traseira que permitisse o acesso por varrimento. No entanto, isto quebraria praticamente toda a promessa de encriptação destes serviços, perderiam a confiança de muitos utilizadores - mesmo fora da União Europeia. Afinal, não é simplesmente possível decifrar um pouco os procedimentos de encriptação matemática, para determinados fins ou limitados a um grupo restrito de pessoas. Ou os dados são encriptados de ponta a ponta e nada mais do que uma sopa de pedra de dados para todos excepto o remetente e o receptor - ou não são.

Alternativamente - e de acordo com muitos observadores há indicações disso - outra possibilidade poderia ser utilizada. Neste caso, a encriptação não está tecnicamente quebrada, porque a mensagem é digitalizada antes de ser encriptada. Também aqui é feita uma correspondência de hash com as impressões digitais correspondentes de uma base de dados de imagens de abuso - mas não em servidores, mas localmente no dispositivo do utilizador. O termo técnico é Client Side Scanning (CSS).

A vantagem disto, de acordo com os proponentes, é que nem o fornecedor de comunicações nem a agência de aplicação da lei terão acesso directo ao conteúdo de todas as mensagens e correios que são enviados. Num documento em que a Comissão da União Europeia em 2020 discutiu várias opções para a digitalização de conteúdos pedopornográficos apesar da encriptação, falava-se também de variantes híbridas que criavam checksums nos dispositivos e só permitiam uma comparação com bases de dados nos servidores dos fornecedores. Os peritos, contudo, não ficaram convencidos com as propostas na altura.

A Apple introduziu esse procedimento de CSS no Verão como parte das suas medidas contra a propagação de representações de abuso de crianças. Isto destinava-se a controlar as fotografias que os utilizadores queriam carregar para o iCloud. No entanto, a comparação com os hashes da base de dados de imagens de abuso dos EUA NCMEC ainda deve ter lugar localmente, ou seja, no dispositivo do utilizador. Isto significa: Em princípio, tal procedimento pode ter efeito antes de um ficheiro ser enviado encriptado de ponta a ponta. Contudo, os libertários civis e os investigadores de segurança também não se sentem confortáveis com este procedimento. Após duras críticas, a Apple retirou os planos por enquanto.

Vários investigadores de renome em matéria de segurança, incluindo Bruce Schneier, Carmela Troncoso e Matt Blaze, publicaram um artigo conjunto em meados de Outubro no qual criticam fortemente o procedimento do CSS em geral e a abordagem da Apple em particular: A tecnologia poderia também ser transformada num instrumento de vigilância em massa, interfere profundamente com a privacidade dos utilizadores e, além disso, é susceptível de abusos. Tecnicamente, o método CSS não quebra a encriptação de ponta a ponta, mas isto é irrelevante se as mensagens forem digitalizadas para determinados conteúdos antes de serem enviadas.

Isto não é falado normalmente entre as pessoas do quoatidiano porque tem sempre o pensamento de "ah, não quero saber, não tenho nada a esconder". As pessoas só se aperceberão do perigo deste tipo de vigilância quando não gostarem ou discorarem do governo será "algo a esconder".

Argumentar que não te preocupas com o direito à privacidade porque não tens nada a esconder não é nada diferente de dizer que não te preocupa com a liberdade de expressão porque não tens nada de importante a dizer. - Edward Snowden

Comentários e reações via E-Mail.

Todas as publicações deste blogue estão sob a licença CC0 1.0 Universal - Dedicação ao Domínio Público.