Por Pedro Lourenço, pesquisador do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec)
Na esteira da fase atual das políticas anticriptografia, vemos emergir casos de esforços comunicacionais “opacos” que buscam aterrorizar a população com as ameaças dos perigos trazidos pela criptografia, especialmente para as crianças. São campanhas publicitárias que carecem de transparência, baseiam-se em argumentos enganosos e endossam medidas que colocam em risco a privacidade e a liberdade de expressão dos usuários da Internet – sem qualquer garantia de que elas aumentariam a segurança dos jovens ou de qualquer outra pessoa. Governos e organizações da sociedade civil estão envolvidas nesse conspiracionismo que ameaça qualquer possibilidade de um debate justo sobre a criptografia.
A insuficiência do púlpito
Enquanto os pesquisadores e defensores da criptografia precisam recorrer às táticas de comunicação ativista, às plataformas e fóruns digitais e aos eventos científicos para se fazerem ouvidos, os agentes anticriptografia – ou pró-segurança, em seus próprios termos – costumam ter à sua disposição púlpitos mais “ilustres”: plenários legislativos, pronunciamentos oficiais de órgãos do Executivo e das forças de aplicação da lei, além de tratamentos como fontes centrais e praticamente inquestionáveis em matérias da imprensa. Também são os principais responsáveis pela divulgação ou omissão dos dados que justificam seus posicionamentos e ações.
Nos momentos críticos das crypto wars do século XX, os defensores da privacidade, segurança e liberdade online cerraram fileiras e conseguiram evitar maiores estragos. Mas os púlpitos continuaram sendo ocupados, quase que exclusivamente, por agentes oficiais do Estado, onde puderam seguir proferindo suas narrativas de “ameaças escondidas nas sombras graças à criptografia”.
A implementação da criptografia trouxe um exponencial incremento na segurança de transações bancárias, do comércio internacional e do funcionalismo público. As próprias atividades de segurança dos Estados se viram fortalecidas com a possibilidade de estabelecer comunicações e armazenar arquivos sem a chance de interferência e espionagem de terceiros.
A adoção da criptografia que realmente preocupava os governos era aquela feita por Estados rivais e pela população comum, neste caso através de softwares de código aberto. Foram sobre esses usos da tecnologia que os maiores ataques foram desferidos – com restrições de exportações, tentativas de imposição de criptografia fraca e backdoors, e assim por diante.
Mas a adoção ampla da criptografia pela população, que tanto preocupou as forças estatais, esbarrava em um problema mais basilar: apenas uma pequena parcela da população possuía computadores pessoais, e, nesse pequeno grupo, poucos tinham o interesse e a perícia necessários para operar os programas disponíveis.
A anticriptografia e a resposta à ela, nas últimas décadas do século XX, envolveram “apenas” cypherpunks, ativistas das liberdades civis, especialistas em tecnologia, agentes dos órgãos de segurança e um punhado de políticos e empresários. Apesar de protagonizarem embates definidores da Internet como a conhecemos hoje, representavam um grupo diminuto de atores em relação ao total da população.
O cenário seguiu assim até o século XXI, quando duas forças tectônicas colidiram e provocaram uma erupção nas crypto wars, impactando fortemente toda a sociedade globalizada: de um lado, a espionagem massiva resultante da “guerra ao terror” e, do outro, a disseminação da Internet, dos dispositivos móveis e, principalmente, das plataformas digitais e big techs.
O jogo mudou. Os discursos em púlpitos monopolizados, que antes eram suficientes para sobrepor as vozes dos ativistas digitais, não conseguiram fazer frente a uma grande população informatizada e corporações de tecnologia cada vez mais influentes no cotidiano da população. Foi necessário encontrar um novo jeito de seguir falando que a criptografia é uma ameaça, e esse novo jeito foi através de pregações menos comedidas sobre os horrores que se aproximavam graças à ela.
“O fim está próximo”
O histrionismo apocalíptico não é nenhuma novidade entre as turbas reacionárias da sociedade. Nos Estados Unidos, cada passo dado pela população negra em direção à conquista de direitos civis foi acompanhado de protestos e atentados racistas. O mesmo pode ser notado, em diversos países do mundo, nas reações diante de avanços importantes para as mulheres – como os direitos ao divórcio e ao aborto legal – e para a comunidade LGBTQIA+ – que lutou pelo direito de frequentar espaços livremente e pela legalidade de suas uniões e famílias.
No Brasil, jornais empenharam-se na luta contra o fim da escravidão, bradando a tragédia econômica que isso desencadearia. Em 1964, parcelas conservadoras da classe média, temendo uma “ameaça comunista”, tomaram as ruas nas Marchas da Família com Deus pela Liberdade, alimentando a instauração da Ditadura Militar.
No presente, muitos desses protestos reacionários continuam ocorrendo. Inclusive, ganhando renovado fôlego: nas portas de centros de saúde onde são realizados abortos; em escolas e espaços culturais, contra as supostas “educações doutrinárias” e “ideologias de gênero”; e até mesmo manifestações abertamente neo-nazistas.
O extremismo refratário aos direitos humanos tem formatado a atuação de políticos, personalidades e organizações da sociedade civil. Sua cartilha contamina o debate público de formas, muitas vezes, insidiosas, menos “barulhentas”. Diante das disputas que emergem no campo das tecnologias digitais – especialmente quando relacionadas à proteção infantil e privacidade –, grupos e agentes públicos pouco afeitos aos direitos digitais têm lançado mão tanto de protestos tradicionais e sonoros, quanto de estratégias mais discretas e sorrateiras, como campanhas sensacionalistas e discursos proferidos “nas sombras”.
Não é coincidência que a última onda de campanhas anticriptografia aconteça ao mesmo tempo em que táticas de desinformação estejam provando repetidamente sua eficácia em todo o mundo. Elas compartilham de inúmeros fatores em comum: o potencial de viralização de informações sensacionalistas e ameaçadoras, as imbricadas redes através das quais é possível esconder os bastidores de um conteúdo midiático, o uso deliberado da mentira como ferramenta política.
Se os discursos anticriptografia proferidos de maneira oficial por agentes do Estado e representantes de organizações da sociedade civil muitas vezes carecem de compromisso ético-científico, naqueles promovidos nas campanhas opacas e sensacionalistas não há ética alguma. Algumas delas, inclusive, resvalam na ilegalidade. Em cima dos púlpitos ou nas sombras, o alarmismo contra a privacidade digital se voltou para a ameaça do momento: a adoção da criptografia pelas grandes empresas de tecnologia, o que representaria, para os seguidores do Going Dark, um risco para a segurança das crianças.
Governo britânico vs. Meta
Desde que o Online Safety Act (OSA) entrou em vigor no Reino Unido, no final de 2023, os serviços e plataformas digitais passaram a ter o dever de tomar medidas mais contundentes diante das ameaças na Internet, especialmente para proteger as crianças e adolescentes online. Os trechos mais duros da lei voltam-se para os conteúdos disponibilizados publicamente, que devem ser alvos de monitoramentos mais incisivos em busca de materiais de abuso sexual infantil (CSAM, na sigla em inglês), aliciamento, comunicações fraudulentas e outros conteúdos ameaçadores, prejudiciais e sensíveis.
O OSA impõe medidas controversas para o monitoramento de conteúdos públicos, com potencial de ameaçar a liberdade de expressão e privacidade dos usuários. Mas, durante a tramitação da lei, os pontos que geraram maior tensão entre o governo e os ativistas da liberdade e segurança digitais diziam respeito ao monitoramento de comunicações privadas, especialmente daquelas que contam com criptografia de ponta-a-ponta. Temia-se a imposição de técnicas de vigilância que poderiam minar o uso da criptografia, como o client-side scanning e detecção por hash.
No fim das contas, o texto aprovado da lei trouxe uma disposição que pode exigir que as plataformas de mensagens utilizem “tecnologia credenciada” para identificar tipos específicos de conteúdos. No entanto, não há nenhuma tecnologia credenciada no momento. Dessa forma, as comunicações encriptadas foram poupadas de maiores violações, mas não sem antes tornarem-se o material bélico de um ataque do governo britânico à Meta.
Enquanto o OSA terminava de tramitar no Parlamento, em setembro, o governo lançou uma agressiva campanha de comunicação direcionada à Meta, pressionando a empresa a repensar seus planos de implementar criptografia de ponta-a-ponta no Facebook Messenger e no Instagram. Na coletiva de imprensa em que a campanha foi lançada, funcionários do Ministério do Interior usaram gráficos para descrever os tipos de CSAM que corriam o risco de circular na rede caso a Meta implementasse a criptografia.
Em um vídeo da campanha, uma vítima de abuso sexual infantil pede diretamente à Mark Zuckerberg, criador do Facebook e diretor executivo da Meta, para que ele não prossiga com seus planos. Junto à Internet Watch Foundation – organização voltada à proteção de crianças e adolescentes contra o abuso sexual na Internet e que adota posições anticriptografia –, o governo produziu um guia aos pais para aconselhá-los sobre a melhor forma de proteger seus filhos caso a Meta adotasse a criptografia de ponta-a-ponta.
A então Secretária de Estado para os Assuntos Internos Suella Braverman, que esteve à frente da campanha, fez duras críticas à decisão da Meta em diversas ocasiões. Ela expôs suas preocupações numa carta endereçada à empresa, assinada também por especialistas em tecnologia, policiais, sobreviventes de abuso infantil e entidades de proteção de crianças e adolescentes.
No programa matinal BBC Breakfast, Braverman afirmou que as mensagens diretas do Messenger e do Instagram eram as plataformas preferidas dos pedófilos online. Indagada pela BBC sobre por que, mesmo com os poderes concedidos pelo OSA, era necessário pedir à Meta que interrompesse a implementação da criptografia, a Secretária respondeu:
“Agora temos amplos poderes contidos nesta nova legislação que nos permitem, através da Ofcom, a entidade reguladora [das comunicações no Reino Unido], dar instruções às empresas para que tomem as medidas necessárias em circunstâncias específicas. Mas prefiro trabalhar de forma construtiva com essas empresas de mídias sociais. Elas desempenham um papel valioso em nossas vidas.” [grifo nosso].
A mesma matéria da BBC apresentou a resposta da Meta, na qual a empresa declara que “À medida que implementamos a criptografia de ponta-a-ponta, esperamos continuar a fornecer mais relatórios às autoridades policiais do que nossos pares, devido ao nosso trabalho líder no setor para manter as pessoas seguras”. Em dezembro, a Meta implementou a criptografia ponta-a-ponta por padrão para mensagens e chamadas pessoais no Messenger e no Facebook.
O microtargeting da Comissão Europeia
Em novembro e dezembro de 2023, a Noyb (European Center for Digital Rights), uma organização engajada na luta pelo direito à privacidade digital, apresentou queixas contra a Direção-Geral da Migração e dos Assuntos Internos da Comissão Europeia e o X por utilizarem microtargeting ilegal para angariar apoiadores para a proposta do Chat Control.
Microtargeting (ou micro-direcionamento) é uma estratégia de marketing que consiste em identificar características específicas de indivíduos – como idade, gênero, hábitos e localização – e, a partir disso, promover campanhas de persuasão específicas para os públicos alvos selecionados. O microtargeting tem sua origem nas campanhas políticas, quando os candidatos desenvolveram estratégias para conquistar os votos de grupos demográficos de eleitores diferentes entre si.
A prática já tinha sido adotada pelo marketing voltado ao consumo, e, após a consolidação das plataformas digitais e do capitalismo de dados, tornou-se uma das táticas mais utilizadas no marketing digital. O microtargeting sustenta-se sobre uma série de processos antiéticos ou até criminosos em alguns países, como a coleta e tratamento abusivos de dados, a produção de perfilamento e seu uso para alimentar hábitos nocivos de consumo, pensamento e ação – e aqui destacamos seu emprego em processos políticos com o objetivo de acirrar extremismos e espalhar desinformação.
O Chat Control é uma proposta legislativa da Comissão Europeia que tem como objetivo o combate à circulação de materiais de abuso sexual ifantil na Internet. O texto inicial da lei previa que os órgãos de segurança acessassem qualquer conteúdo digital privado dos usuários, inclusive aqueles que pudessem estar protegidos por criptografia. Em novembro de 2023, o Parlamento Europeu votou para que a criptografia continuasse sendo inviolável, reforçando uma posição em prol da privacidade e segurança da população. Foi justamente isso que a campanha de microtargeting tentou evitar.
Em setembro, a Direção-Geral da Migração e dos Assuntos Internos da Comissão Europeia veiculou uma campanha sensacionalista e com dados enganosos para usuários do X na Holanda. Na segmentação da ação, a Comissão visou utilizadores com base em seus posicionamentos políticos e crenças religiosas, direcionando a comunicação para pessoas mais alinhadas ao conservadorismo de direita. Os anúncios foram exibidos para pessoas interessadas em palavras-chave como Qatargate, brexit, Marine Le Pen, Alternative für Deutschland, Vox, Christian, Christian-fobia e Giorgia Meloni.
O uso de dados pessoais sobre crenças políticas e religiosas feito na campanha viola o Regulamento Geral sobre a Proteção de Dados da própria Comissão Europeia. É vedado também pelas diretrizes de publicidade do X, mas, mesmo assim, os anúncios puderam ser impulsionados para impactar milhares de pessoas – inclusive, ainda seguem na plataforma.
Em sua denúncia para a Autoridade Europeia para a Proteção de Dados, a Noyb destaca a tentativa da Comissão de influenciar a opinião pública na Holanda com o objetivo de minar a posição do governo nacional no Conselho da UE. Isso constituiria uma ameaça ao processo legislativo e, por consequência, à democracia.
Heat Initiative vs. Apple
Em 2021, a Apple tornou pública sua controversa intenção de escanear arquivos carregados no iCloud em busca de material CSAM. Os conteúdos seriam analisados ainda nos iPhones, antes de subirem para a nuvem e serem criptografados, uma prática conhecida como client-side scanning. Diante das críticas de cientistas da computação, especialistas em criptografia e defensores dos direitos civis e digitais, que apontaram que a medida tornaria os iPhones mais vulneráveis e abriria espaço para perigosas possibilidades de vigilância, a Apple recuou da proposta. Mas a ideia seguiu assombrando a empresa.
No começo de 2023, foi fundado um grupo de defesa da segurança infantil que, como primeira ação significativa, lançou uma grande campanha contra as medidas de privacidade da Apple. Trata-se da Heat Initiative, uma organização sem fins lucrativos quase completamente opaca em sua estrutura e financiamento.
A Heat reverbera o discurso do Going Dark, alegando que a Apple possibilita a exploração sexual ao permitir que pedófilos usem a criptografia do iCloud para esconder CSAM e dados pessoais. O jornalista Sam Biddle publicou uma investigação sobre a organização no The Intercept, e trouxe uma descrição da campanha lançada por ela que dá uma ideia dos recursos aos quais a Heat tem acesso:
Quando a Apple lançou o seu novo iPhone em setembro, a Heat Initiative aproveitou a ocasião, publicando um anúncio de página inteira no New York Times, utilizando caminhões com paineis digitais e até alugando um avião para sobrevoar a sede da Apple com uma mensagem. A mensagem no cartaz parecia simples: “Querida Apple, detecte o abuso sexual de crianças no iCloud” – o sistema de armazenamento em nuvem da Apple, que hoje emprega uma série de poderosas tecnologias de encriptação destinadas a impedir que hackers, espiões e Tim Cook saibam qualquer coisa sobre os seus arquivos privados.
Na matéria, Sam destaca que a Heat é financiada por uma rede filantrópica bilionária, o Fundo Hopewell, através do qual super ricos podem exercer secretamente sua generosidade e vontade política. O Fundo, alinhado ao Partido Democrata, costuma apoiar pautas progressistas, mas através de práticas de atuação labirínticas e opacas que em muito se assemelham àquelas dos financiadores da direita e extrema-direita. Matthew Green, criptógrafo da Universidade Johns Hopkins, declarou à reportagem:
“Não me sinto confortável com pessoas ricas anônimas com agendas desconhecidas promovendo essas invasões massivas de nossa privacidade. […] Há enormes implicações para a segurança nacional, bem como para a privacidade dos consumidores contra as empresas. Há muitas razões desagradáveis para as pessoas promoverem esta tecnologia que nada têm a ver com a proteção das crianças.”
A Heat Initiative é dirigida por Sarah Gardner, egressa da Thorn, uma organização fundada pelo ator Ashton Kutcher que atua contra o tráfico de crianças. A Thorn já foi alvo de investigações e críticas por conta de suas parcerias e por fornecer tecnologias de vigilância e reconhecimento facial à polícia, que miravam não apenas o tráfico infantil, mas também a atuação de adultos envolvidos com trabalho sexual consensual. No site da Heat, há poucas informações disponíveis sobre sua equipe, trabalho e fontes de recursos. Em entrevistas, Sarah Gardner e Kevin Liao, porta-voz da Heat, se negam a responder ou contornam questões sobre o funcionamento e financiamento da organização.
Numa reação à ofensiva da Heat Initiative, a Apple tornou público um e-mail enviado para a empresa por Sarah Gardner, onde ela pede que a empresa “detecte, reporte e remova imagens e vídeos de abuso sexual infantil do iCloud”, e a reposta enviada a ela por Erik Neuenschwander, Diretor de Privacidade do Usuário da Apple. Na declaração, Erik argumenta que:
“A análise dos dados privados armazenados no iCloud de cada usuário criaria novos vetores de ameaça que os ladrões de dados poderiam encontrar e explorar. […] Também aumentaria o potencial para um declive escorregadio de consequências não intencionais. A pesquisa de um tipo de conteúdo, por exemplo, abre a porta à vigilância em massa e pode criar o desejo de pesquisar outros sistemas de mensagens encriptadas em todos os tipos de conteúdo.”
Acendam as luzes
A insegurança de crianças e adolescentes nos ambientes digitais, o uso da Internet para o cometimento de crimes e propagação da violência, a disseminação de desinformação e do estímulo a comportamentos nocivos, todos esses tópicos são questões fundamentais da atualidade que devem ser debatidas por toda a sociedade.
O papel que a criptografia pode desempenhar em cada um desses problemas – seja como potencializadora deles ou como ferramenta de solução – merece ser cuidadosamente analisado à luz da cientificidade e do respeito aos direitos humanos, sobretudo aqueles que salvaguardam a privacidade, a livre expressão e a segurança.
Os discursos anticriptografia proferidos de forma opaca e sensacionalista afastam-se dos fundamentos democráticos da esfera pública. Eles estabelecem um debate em termos desiguais e minam a atuação dos próprios críticos das tecnologias criptográficas que tentam atuar de forma embasada, justa e dialógica. Qualquer discussão efetivamente democrática sobre políticas criptográficas só pode ser feita de forma pública e aberta à participação de todos os entes interessados, pois não há diálogo possível com quem rasteja nas sombras articulando conspirações.