Marcos Cesar M. Pereira, co-coordenador do Observatório da Criptografia
Um velho conhecido retornou para os holofotes midiáticos – pelas razões que não esperávamos. O projeto de lei conhecido como Chat Control ganhou destaque nos últimos dias por uma “nova proposta” que pode ameaçar a criptografia de ponta-a-ponta, chamada de moderação por envio (upload moderation). Antes, no entanto, vamos relembrar um pouco do que se trata o Chat Control?
Relembrando o Chat Control
Chat Control, como ficou conhecida, é uma proposta da Comissão Europeia que visa instaurar regras para previnir e combater o abuso sexual infantil. Uma das provisões que preocupam diversos setores é a obrigação de soluções realizarem o escaneamento de mensagens privadas de usuários, que levaria à quebra de criptografia de ponta-a-ponta.
Cabe ressaltar que uma versão 1.0 está em vigor, uma da derrogação da ePrivacy, aprovada em 2021, que permite com que provedores de e-mail e serviços de mensagens escanem mensagens pessoais dos cidadãos europeus voluntariamente. Na versão 2.0 proposta, a busca seria obrigatória para todos os e-mails e provedores de mensagerias, inclusive aqueles com criptografia de ponta-a-ponta.
A proposta teve fortes reações de diversos setores da sociedade europeia e mundial, visto que o escaneamento de mensageria privada implica numa quebra da criptografia de ponta-a-ponta. Neste sentido, especialistas publicaram uma carta conjunta em 2023 buscando pressionar a Comissão Europeia a realizar alterações. Aqui no ObCrypto, almejando dar visibilidade para o debate, convidamos membros da Internet Society Capítulo Portugual para exporem os problemas da proposta.
Não apenas no conteúdo do projeto se encontram as controvérsias. Um pesquisador holandês descobriu que anúncios pagos pela Comissão Europeia estavam sendo direcionados a pessoas, baseados na religião e orientação política. A campanha de microtargeting, além de ter alvos específicos, tinha como foco sete países europeus, os quais eram críticos à proposta.
No final de 2023 pareceu ter surgido uma luz. Membros do Comitê de Liberdades Civis do Parlamento Europeu votaram contra o monitoramento em massa de comunicações privadas. No que concerne à criptografia de ponta-a-ponta, o posicionamento dos membros da Comissão do Parlamento Europeu era de haver a exclusão de serviços criptografados da obrigatoriedade de escaneamento de comunicações.
O termo da vez é “moderação por envio”
Apesar de todas as reações, a Comissão Europeia continua insistindo na proposta de escaneamento de mensagens privadas. O anteprojeto apresentado pela Bélgica apresenta como alternativa à obrigatoriedade de escaneamento a moderação por envio (upload moderation). Nesta medida, usuários devem consentir que as imagens e URL enviadas sejam escaneadas em busca de materiais de abuso sexual infantil.
No recital do documento, publicado pelo site Netzpolitik, são apresentadas as justificativas para tal medida. Observando o histórico argumentativo utilizado por governos para medidas de escaneamento de mensagens privadas, não se há nada de novo. O recital segue a cartilha do going dark, afirmando a necessidade de que comunicações encriptadas não sejam locais seguros para criminosos e abusadores se protegerem das forças de investigação.
A alternativa apresentada parece ser uma resposta à votação contrária da Comissão de Liberdades Civis do Parlamento Europeu. Ao invés de um escaneamento em massa, sem o conhecimento do usuário, estes devem, antes de enviar um conteúdo, consentir com o escaneamento. Dessa forma, muda-se a chave da obrigatoriedade para o consentimento.
A proposta levantou inúmeras reações de ativistas de privacidade e direitos digitais, assim como de serviços digitais. Apesar do nome proposto, trata-se de uma nova medida de client-side scanning, no qual conteúdos enviados por usuários são analisados buscando uma correspondência com uma base de dados antes de ser enviado. Por isso, a medida, além de vulnerabilizar a criptografia forte, cria novas áreas de ataque.
Dentre as manifestações de destaque estão, por exemplo, a de Meredith Whittaker, presidente da Signal. Whittaker já reforçou que o Signal sairá da Europa caso seja obrigado a diminuir os níveis de segurança. Ademais, na carta publicada dia 17 de junho, a presidente da organização realiza duras críticas ao projeto, pedindo para os legisladores pararem com o jogo de palavras, que no final das contas apenas ameaçam a criptografia.
Membros do Parlamento Europeu também realizaram um apelo para que a proposta não avance. Na carta, os parlamentares destacam, entre diversos pontos, a importância de comunicações encriptadas para todos, inclusive para proteção de crianças, adolescentes e vitimas de abuso sexual terem um canal seguro para buscar ajuda.
Outra importante declaração, no qual o IP.rec é signatário, foi a carta conjunta da Global Encryption Coalition (GEC). O documento também vai na direção dos anteriores, reforçando que a mudança de nome não apaga os riscos da medida. Além disso, reforça a problemática do consentimento forçado da proposta.
As reações surtiram efeito. A votação, prevista para dia 20/06, na qual os governos europeus iam adotar uma posição sobre a proposta, foi adiada. A vitória é provisória, mas deve ser comemorada considerando o perigo da proposta.
Quando isso vai parar?
Os documentos supracitados reforçam como a moderação de envio enfraquece a criptografia, além de inserir novas vulnerabilidades em sistemas. Importante destacar que, além de tais riscos, há uma problemática fundamental na qualidade de tal consentimento, tópico reforçado na carta da GEC, assim como existem diversos riscos aos direitos humanos dessa proposta.
No que concerne ao consentimento, existe um problema como ponto de partida: qual a qualidade desse consentimento fornecido? Conforme indicado no recital, caso aprovado, o usuário terá que fornecer seu consentimento para compartilhar conteúdos visuais (como fotos, vídeos e GIFS) e URLs. Caso não tenha a autorização, o usuário poderá utilizar o serviço, mas sem essas funcionalidades.
Primeiramente, há nessa proposta uma escolha que na realidade não é dada por espontânea vontade. Se o usuário é confrontado com uma opção na qual ele precisa consentir, em troca de uma limitação, seria esse consentimento justo? Há, claramente, a introdução de um padrão enganoso (deceptive patterns) de design, no qual o usuário deseja realizar algo, neste caso compartilhar um conteúdo, mas em troca precisa fazer algo que ele não deseja (ter o conteúdo escaneado), enquadrando em um tipo de padrão chamado de ação forçada (forced action).
Além de antiético quando falamos em design de produtos, existe um conflito legal. Hoje, práticas de padrões enganosos são proibidos na própria legislação europeia. O aprovado Digital Services Act, no artigo 25, explicitamente proíbe qualquer forma de manipulação do usuário para que ele realize algo que ele não faria de outra forma.
Outro ponto de preocupação é o impacto para aqueles que recusarem terem seus conteúdos escaneados. Como indicado pelo projeto, aqueles que não oferecerem o consentimento não poderão utilizar as funcionalidades de envios de mídias visuais nem de URLs. Isso pode representar um risco aos direitos dos cidadãos, visto que a transmissão de informações estaria limitada pela ausência de funcionalidade chaves presentes em serviços de mensageria. Assim, direitos como liberdade de expressão, opinião e informação parecem estar cerceados, além do próprio direito à privacidade.
Além desses pontos, cabe destacar que essa proposta não leva em consideração formas de como usuários podem burlar essas restrições. Mesmo sem o consentimento, ainda existe a possibilidade de envio de URLs, alterando-as de forma que se tornem indetectáveis enquanto URLs. A forma mais simples e conhecida é simplesmente adicionando um espaço entre o domínio e o domínio de topo (ex. obcrypto.org iria ser veiculado pelos usuários como obcrypto. org). Ademais, usuários poderiam ainda armazenar imagens em nuvem e compartilhar via URL, aliando com a tática para burlar a restrição de envio de mídias.
Essa medida não apenas é um risco para Europa, mas também para outros continentes, sobretudo do Sul Global que veem no Norte Global inspiração para suas legislações. Não seria estranho observar o surgimento de projetos de leis e/ou emendas no Brasil que obrigassem serviços de mensageria a introduzirem moderação por envio, sobretudo para combater desinformação tendo em vista o histórico da proposta de rastreabilidade. Cabe, portanto, manter um olhar atento sempre atento para a adaptação narrativa de legisladores quando o assunto é enfraquecer a criptografia de ponta-a-ponta.
Tudo isso parece ter sido ignorado na proposta que, além de cair nos mesmos erros disfarçados de solução alternativa, traz novos problemas para a mesa. Diversos setores vêm reforçando a importância da criptografia na defesa de crianças e adolescentes. Nós pelo IP.rec vemos nesse empreendimento produzindo análises, traduzindo publicações, como o Guia de Criptografia para Pais e Mães e o relatório Privacidade e Proteção: Uma abordagem dos direitos da criança à criptografia. Mas o que queremos saber é quando eles vão finalmente entender que criptografia também é segurança para crianças e adolescentes?