UE forçará empresas a acessar mensagens com criptografia

Não é de hoje que a criptografia ponta a ponta, que protege mensagens privadas de usuários em mensageiros como WhatsApp e Telegram, irrita autoridades em todo o mundo. Dos Estados Unidos ao Reino Unido e Austrália, várias propostas surgiram para forçar companhias a quebrarem a proteção, algo que em tese não pode ser feito, alegando que o recurso atrapalha investigações criminais.

• Governo dos EUA estuda banir a criptografia ponta a ponta
• Como os ingleses usaram criptografia para vencer a Argentina

Agora é a vez da União Europeia entrar na conversa: uma proposta apresentada recentemente pode obrigar plataformas a acessarem mensagem privadas de seus usuários, não importando o método que usem para isso, de modo a verificar conteúdos que ajudem a solucionar crimes de abuso infantil e corrupção de menores.

A proposta não é generalista como a ideia outrora apresentada pelos EUA e o Reino Unido, de que mensageiros instantâneos deveriam implementar "portas dos fundos" acessíveis apenas por autoridades; ao invés disso, a exigência se aplicaria em países da UE apenas quando uma varredura nas mensagens for solicitada via mandado judicial, similar ao que foi discutido no Brasil, no passado.

Segundo o documento, caso a proposta seja aprovada, plataformas de mensagens instantâneas notificadas judicialmente "terão a obrigação de detectar, reportar, remover e bloquear quaisquer conteúdos que aludem a abuso infantil e solicitações de menores, independente do meio de tecnologia usado nas conversas online".

O documento cita especificamente o uso da criptografia ponta a ponta, como uma "ferramenta importante para a segurança" de indivíduos, porém, caso um juiz ordene que uma conversa protegida seja quebrada e vasculhada, a plataforma será obrigada a fazê-lo, sem o direito de questionar, usando quaisquer meios necessários para que a solicitação seja cumprida.

O documento é claro como cristal nesse quesito:

"A fim de garantir a eficácia, permitir soluções personalizadas, permanecer tecnologicamente neutro e evitar a evasão das obrigações de detecção, tais medidas devem ser tomadas independentemente das tecnologias utilizadas pelos prestadores (plataformas) na prestação dos seus serviços.

Dessa forma, este regulamento deixa ao prestador a escolha das tecnologias de modo a cumprir, de forma eficaz, as ordens de detecção e não deve ser entendido como um incentivo ou desincentivo à utilização de uma determinada tecnologia, desde que as tecnologias usadas cumpram os requerimentos deste regulamento.

Isso inclui o uso de tecnologia de criptografia de ponta a ponta, que é uma importante ferramenta para garantir a segurança e a confidencialidade das comunicações dos usuários, incluindo as de crianças.

Ao executar a ordem de detecção, os prestadores devem tomar todas as medidas de proteção disponíveis para garantir que as tecnologias por eles empregadas não possam ser utilizadas por eles (prestadores, ou plataformas) ou seus funcionários para outros fins que não o cumprimento deste regulamento, nem por terceiros, e assim evitar comprometer a segurança e confidencialidade das comunicações dos usuários."

Note que a proposta da Comissão Europeia estipula algumas regras. Primeiro, plataformas como WhatsApp, Telegram e outras terão que se virar para implementar meios capazes de quebrar a segurança de mensagens privadas, desde que o método seja sancionado e não ponha em risco a segurança dos usuários como um todo.

Logo de cara, isso elimina o uso de malwares e apps espiões, que alguns especialistas sugeriram como sendo as únicas alternativas viáveis, visto que as chaves criptográficas não ficam com as empresas (em tese), mas com os usuários envolvidos na troca de mensagens.

Segundo, as empresas ficarão totalmente responsáveis pela manutenção das ferramentas que desenvolverem para esse fim, cujo uso deve ser limitado exclusivamente às solicitações judiciais do bloco, e não podem em hipótese alguma serem implementadas pela plataforma, ou funcionários dela, em outras soluções. Da mesma forma, ela não pode vazar para o público de nenhuma maneira, no que sua mera existência a torna um alvo para hackers.

Basicamente, o pensamento da União Europeia ao propor esta nova regulação, é uma declaração ríspida às plataformas de mensageiros digitais: "faça o impossível e o faça agora, mas sem infringir a Lei ou irá se ver conosco". A justificativa, novamente, é o combate a crimes de abuso e corrupção de menores, que o bloco coloca como prioridade acima da privacidade dos usuários.

Vale lembrar que esta não é única ideia da União Europeia que pode complicar as coisas para quem curte a criptografia ponta a ponta. A Lei de Mercados Digitais (DMA) propõe que mensageiros possam se comunicar entre si, no que usuários poderão receber e mandar mensagens para quem quiser, não importa se usam WhatsApp, Telegram, Signal, Apple Mensagens, Facebook Messenger e etc.

Especialistas argumentam que o procedimento quebrará totalmente a criptografia desses aplicativos, dada a incompatibilidade, e em situações onde empresas desenvolvam recursos que permitam que os mensageiros conversem, uma pode atingir apenas o mínimo em segurança e prejudicar a proteção do outro.

Outros dizem que a posição da União Europeia visa quebrar o domínio das "gatekeepers" (Apple, Meta e Google), de modo a estabelecer um sistema de criptografia padronizado e de código aberto, de modo a garantir a segurança das mensagens e, em simultâneo, tirar o controle da criptografia das empresas.

Voltando à proposta de quebra das mensagens, a consequência mais crítica à implementação de ferramentas capazes de vencer a criptografia ponta a ponta, é a total depreciação do formato, algo que diversos governos defendem há tempos, por um ou outro motivo.

O assunto está dividindo opiniões, entre quem considera a varredura de mensagens protegidas um mal necessário, enquanto outros classificam a medida como "uma versão 2.0 da Stasi", em que todos estão sujeitos a terem suas mensagens reviradas e sua privacidade questionada.

Fonte: Ars Technica