O ano terminou e começou agitado. Como isso vai afetar a criptografia e os direitos humanos na internet?
Pedro Amaral e Marcos César M. Pereira, pesquisadores do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec)
Antes de 2022 acabar, o artigo de opinião, publicado no New York Times, intitulado “O app Signal e o perigo da privacidade a todo custo”[1], chamou atenção entre especialistas e defensores da privacidade e segurança na internet. O autor, Reid Blackman, consultor governamental e corporativo sobre ética digital, foi criticado não somente pela qualidade do texto, mas por reciclar, novamente, a ideia de que a privacidade, levada ao extremo, é um risco para a segurança das pessoas. O bode expiatório escolhido dessa vez é o Signal, aplicação de mensageria sem fins lucrativos que oferece um meio seguro e gratuito. a crítica parte do anúncio de Jack Dorsey, ex-CEO e cofundador do Twitter, de que irá doar, anualmente, de U$1 milhão à organização sem fins lucrativos responsável por gerir o Signal.
A doação, segundo Dorsey, é motivada pela ideia de que as tecnologias não devem ser governadas totalmente por governos e corporações e que as pessoas devem ter meios para resistir e que tais meios devem ser, no limite, controladas pelas pessoas. O Signal, conhecido e empregado por jornalistas, ativistas, movimentos sociais e pessoas preocupadas com sua segurança e privacidade, emprega criptografia ponta-a-ponta e, dando um passo a mais em relação às alternativas comerciais disponíveis, não coleta metadados. Assim, a aplicação sabe pouco ou nada sobre seus usuários, para tentar atingir sua missão: combater a vigilância estatal e corporativa.
Menos que um texto voltado para enriquecer o debate, alguns especialistas apontaram que a peça serviu, na verdade, para dar legitimidade às prováveis investidas contra a criptografia que virão no futuro breve ou já se encontram em curso. A sanha controladora e vigilantista de agentes e das instituições de aplicação da lei depende da possibilidade de acesso a qualquer informação ou comunicação, exceto as comunicações deles, claro. Afinal, pode ser que a criptografia forte seja usada para evitar transparência por agentes públicos. A presidente do Signal, Meredith Whittaker, retrucou certeiramente:
“O artigo de opinião funciona para criar a aparência de um “debate” em questões mais ou menos pacificadas. Isso é uma função poderosa, reforçada pela sanção do New York Times (…) – uma aparente referência crível em apoio a leis e plataformas contra privacidade. Quais leis? Quais plataformas políticas? (…) [Aquelas] leis que, em efeito, previnem a não construção de capacidades de vigilância massiva e de censura por pessoas desenvolvendo tecnologias. O que, apesar de mal argumentado, é efetivamente o principal objetivo desse artigo de opinião.”
Aproveitando o mote, indicamos alguns pontos de interesse, entre riscos e oportunidades para a criptografia forte nesse ano. Incluimos aqui legislações problemáticas, os movimentos econômicos e políticos, e questões infraestruturais do ecossistema da internet e dos direitos humanos que possam afetar o cenário da criptografia.
Horizontes legislativos no Brasil e no mundo
Dentre diversas propostas legislativas em desenvolvimento e iniciativas governamentais que podem afetar a criptografia e o direito à privacidade, chama a atenção países como a Índia, União Europeia, Reino Unido, Estados Unidos da América, Irã, México e Brasil, por hora. Alguns desses projetos já foram analisados aqui no Observatório da Criptografia e outros serão discutidos num futuro breve. No caso indiano, por exemplo, o projeto da Lei das Telecomunicações deve ser observado atentamente. A Índia vem ganhando ainda mais importância econômica e política na internet, em parte por resultado da guerra econômica entre EUA e China, que gira em torno dos microprocessadores.
O projeto de lei, que será analisado em seguida aqui no ObCrypto, pode impactar negativamente não apenas os serviços digitais na Índia, mas em todo o globo, na medida em que impõe diversos requerimentos e obstáculos a uma internet livre e aberta. Um dos impactos mais negativos pode ser justamente no fornecimento de criptografia ponta-a-ponta, na medida em que a nova legislação propõe o direito do governo de interceptar comunicações criptografadas e obriga as fornecedoras do serviço a ajudar na desencriptação. Vale lembrar que o país atualmente possui o maior número de usuários do WhatsApp. O Signal respondeu que prefere sair da Índia a enfraquecer seu sistema.
No espaço europeu, há o Digital Markets Act, já analisado aqui, por Mariana Canto, diretora do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec), que avança na demanda por interoperabilidade, mas tomando como primeiro alvo as aplicações de mensageria privada. Caso seja apressado, pode provocar a adesão a protocolos de criptografia menos seguros, colocando usuários e suas comunicações em risco. Por outro lado, a Comissão Europeia deve avançar em sua proposta de regulação de varredura para combate de conteúdos de exploração sexual infantil (CSAM), apresentada em maio e analisada aqui por Nuno M. Guimarães e Nuno T. Castro, da Internet Society Portugal.
No Reino Unido, a Online Safety Bill, após revisão por mais de um ano, continua mantendo uma obrigação de uso de ferramentas ‘recomendadas’ pelo governo para detectar e denunciar materiais de abuso sexual infantil. Quando apontadas para aplicações de mensagerias com criptografia ponta-a-ponta, isso implicará em forçar fornecedores a abandonar esses serviços ou comprometer a criptografia empregada e, consequentemente, a segurança e a privacidade das comunicações. Em 24 de novembro de 2022, 70 organizações, especialistas em cibersegurança e representantes eleitos assinaram uma carta aberta para o primeiro ministro britânico apontando os riscos do projeto de lei.
Nos Estados Unidos, projetos de lei que pensavam estar adormecidos retornaram aos holofotes. Introduzido pela primeira vez em 2020, o EARN IT Act reapareceu no cenário legislativo no início de 2022, colocando nos intermediários maiores responsabilidades pelos conteúdos transmitidos por usuários nas plataformas, sobretudo no que concerne a materiais de abuso sexual infantil. A análise da Internet Society sobre o projeto destaca como o próprio uso de criptografia ponta-a-ponta poderia ser considerado como evidência para responsabilizar o provedor de serviço em casos relacionados por CSAM. Logo, não foram poucas as críticas ao projeto, considerando que a implementação de criptografia ponta-a-ponta por empresas seria criminalizada, favorecendo maior vigilância estatal dos cidadãos e afetando uma gama de Direitos Humanos.
No Irã, a resposta repressiva e violenta aos protestos, que irromperam ano passado após a morte da jovem de 22 anos, Mahsa Amini, após sua prisão pela polícia da moralidade, envolveu também a censura, obstáculos ao acesso e desligamento da internet no país. Enquanto sua empresa mãe, Meta, chegou a ser acusada, em 2022, por ativistas iranianos de cooperação com a repressão, o WhatsApp lançou, em 5 de janeiro deste ano, um conjunto de funcionalidades para circunventar a censura por meio de proxies. A aplicação é banida em países como a Coréia do Norte, Síria, China, Qatar e, desde setembro de 2022, no Irã. Em parceria com diversas organizações e voluntários ao redor do mundo, a empresa manifestou o objetivo de contribuir na manutenção da comunicação e combater os impactos negativos e as violações de direitos humanos provocados pelos desligamentos da internet, mantendo o mesmo nível de privacidade e segurança do serviço.
No Brasil, chamamos a atenção para o encaminhamento da Reforma do Código de Processo Penal, cujos trabalhos devem ser retomados em breve e causam preocupação nacional e internacional, assim como os debates acerca da necessidade de uma ‘LGPD Penal’. Após os preocupantes e violentos eventos de 8 de janeiro, o Ministro da Justiça e Segurança Pública, Flávio Dino, encaminhou ao presidente o chamado “Pacote da Democracia”, que deverá tratar de responsabilidades de provedoras de serviços digitais em termos criminais e não civis.
Somando aos esforços de combate à desinformação, cujas iniciativas capitaneadas pelo ministro do STF Alexandre de Moraes, especialmente durante as eleições, e que, anteriormente, motivaram inicialmente o PL 2630 e a demanda por regulação das plataformas, vale atentar para os riscos que grandes poderes regulatórios ou punitivistas podem oferecer à criptografia forte e ao direito à privacidade no Brasil. Vale lembrar que Alexandre de Moraes também pediu vistas no julgamento da Ação Direta de Inconstitucionalidade 5527 e na Arguição de Descumprimento de Preceito Fundamental 403, já tratadas anteriormente no blog do IP.rec e em nosso estudo “O mosaico legislativo da criptografia no Brasil”. As duas ações se relacionam aos bloqueios do Whatsapp em 2015 e 2016 e são importantes para o futuro da criptografia no país, caso e quando volte a ser julgada.
Em outros países da América Latina e Caribe, o debate vem esquentando. Chama a atenção o México, onde existem pelo menos 15 projetos de lei sobre questões de comunicações e cibersegurança. No mesmo país, existem recorrentes casos de abuso de autoridades do spyware Pegasus, fornecido pela empresa israelense NSO Group. O hacking governamental, vale salientar, era, até recentemente, colocado como alternativa menos danosa ao esforços por portas clandestinas nos sistemas de segurança digital, como a própria criptografia, compreensão essa apontada em nosso estudo “Mercadores da Insegurança: conjuntura e riscos do hacking governamental no Brasil”. Não é difícil imaginar que, com o recuo no uso de ferramentas de espionagem digital, os agentes das forças públicas mexicanas apostem na pressão pelo enfraquecimento, por força da lei, da segurança dos sistemas digitais de comunicação privada que empregam criptografia.
Para avançar no diagnóstico dos riscos e oportunidades para fortalecimento da criptografia na América Latina e Caribe, o Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec) lançará o Relatório Regional sobre Políticas e Liberdades no uso de Criptografia na América Latina 2022-23, previsto para fim de fevereiro. Considerando que a internet atravessa fronteiras, o diagnóstico dos riscos à criptografia depende de uma compreensão da interação entre os diversos ecossistemas legais.
A criptografia massificada para além das aplicações de mensageria
Antes do ano passado acabar, vimos algumas iniciativas de grandes empresas de tecnologia envolvendo criptografia ponta-a-ponta. A Google anunciou que passará a oferecer a criptografia pelo lado do cliente em seu serviço de correio eletrônico, o Gmail. A funcionalidade em fase de teste só estará disponível para alguns tipos de clientes e foi anunciada como uma vantagem para usuários que manejam dados sensíveis. Antes, já vinha sendo implementada em outros serviços como Google Documentos, assim como no serviço de chamadas de vídeo, o Meets. A tendência parece ser na implementação de criptografia forte em todo o Workspace da Google, seguindo o anúncio da Apple sobre a encriptação ponta-a-ponta no iCloud, serviço de backup da empresa. Essa mudança, por sua vez, enterra os planos de implementação de varredura pelo lado do cliente (VLC) para combater materiais de exploração sexual de crianças, planos que a própria empresa anunciou e desistiu, ainda em 2021, após fortes críticas da comunidade técnica e da sociedade civil. Ainda sobre esse tema, a análise de André Ramiro e Pedro Amaral sobre os problemas e riscos da adoção de VLC pela Apple pode ser conferida no ObCrypto.
A demanda por VLC, contudo, era apoiada em grupos ligados às agências de aplicação da lei nos EUA, no Reino Unido e na União Europeia. Nesse sentido, o anúncio, em 31 de dezembro de 2022, sobre o fim do recebimento de novos usuários pelo Wickr, aplicativo de mensageria com criptografia ponta-a-ponta comprado pela Amazon em 2021. A ferramenta continuará disponível em sua versão AWS Wickr e Wickr Enterprise, soluções focadas em business-to-business. O Wickr é até indicado para agências governamentais estadunidenses pela sua segurança e privacidade e chegou a receber um investimento de 1.6 milhões de dólares de uma firma fundada pela Agência Central de Inteligência (CIA).
A proteção das crianças e adolescentes é um dos grandes motes usados para confrontar o direito à privacidade e a difusão de ferramentas que empregam criptografia forte. Esse dispositivo moral, usado para sensibilizar contra a criptografia forte, nem sempre é a grande motivação para as interceptações ou requisições de dados das comunicações. Matthias Pfau, cofundador e CEO da Tutanota, empresa de correio eletrônico criptografado ponta-a-ponta, analisou alguns dados de ordens judiciais de vigilância. Das ordens de vigilância recebidas pela empresa, apenas uma se referia a pornografia infantil, o que equivale a apenas 1,3% das ordens recebidas. Ainda, das estatísticas de ordens de vigilância de telecomunicações publicadas pelo Departamento de Justiça Federal da Alemanha, em 2019, apenas 0.1% (21 casos), tratava de materiais de abuso sexual infantil. Isso contrasta com os 13.670 casos de abuso infantil naquele ano e lança fortes dúvidas sobre os resultados do aumento da vigilância para a segurança das crianças na região.
Sairemos desse velho cabo de guerra?
Entra ano e sai ano, mas parece que o debate em torno do uso de criptografia forte se mantém no velho cabo de guerra. De um lado, defensores constantemente reforçam que sua adoção vem para o benefício dos Direitos Humanos, como direito à privacidade, liberdade de expressão, além de fortalecer a proteção de dados e deixar sistemas informacionais mais resilientes a ataques externos. De outro lado, sobretudo o setor governamental, munido de um discurso simplista e reducionista de combate a atos ilegais cometidos na rede ou pela rede, supostamente protegidos pelo uso de criptografia ponta-a-ponta, criam novas estratégias – ou reciclam antigas – para enfraquecer a possibilidade dos diversos setores utilizarem criptografia para proteger suas comunicações.
O discurso de privacidade versus segurança é uma falsa dicotomia. A criptografia favorece a privacidade e a segurança, quando utilizada. Sua falta pode deixar os cidadãos vulneráveis a atores maliciosos, aqueles que os agentes de aplicação da lei deveriam buscar combater. As táticas, aparentemente novas, usadas para enfraquecer a criptografia continuam sendo criadas. Dessa maneira, é necessário o alerta e a atenção para compreender os cenários políticos das práticas discursivas e articular estratégias para confrontar as tentativas de sequestro de pautas legítimas, como a proteção das crianças e adolescentes, para fins vigilantistas. É preciso combater a criação de capacidades estatais facilmente deturpadas para violações dos Direitos Humanos e perseguições das minorias políticas e sociais.
[1] Tradução livre.