A União Europeia tem uma reputação de longa data por ter leis de privacidade fortes. Mas um plano legislativo para combater o abuso infantil – que o bloco apresentou formalmente em Maio de 2022 – ameaça degradar a privacidade e a segurança de centenas de milhões de utilizadores regionais de aplicações de mensagens.
A Comissão Europeia, o órgão legislativo da UE que redigiu a proposta, enquadra-a como um plano para proteger os direitos das crianças online, combatendo o uso indevido de ferramentas tecnológicas convencionais por abusadores de crianças que, segundo ela, utilizam cada vez mais aplicações de mensagens para distribuir material de abuso sexual infantil. (CSAM) e até mesmo obter acesso a novas vítimas.
Talvez como resultado do lobby do sector tecnológico de segurança infantil, a abordagem que a UE adoptou é tecno-solucionista. A iniciativa da Comissão centra-se na regulação dos serviços digitais — principalmente aplicações de mensagens — impondo-lhes o dever legal de utilizar ferramentas tecnológicas para analisar as comunicações dos utilizadores, a fim de detetar e denunciar atividades ilegais.
Durante vários anos, os principais aplicativos de mensagens tiveram uma derrogação temporária das regras de privacidade eletrônica do bloco, que trata da confidencialidade das comunicações digitais – a derrogação vai até maio de 2025, de acordo com sua última extensão – para que possam verificar voluntariamente as comunicações das pessoas em busca de CSAM em determinados cenários.
No entanto, o regulamento sobre abuso infantil criaria regras permanentes que essencialmente obrigariam à verificação de conteúdos baseados em IA em toda a UE.
Os críticos da proposta argumentam que ela levaria a uma situação em que as plataformas de mensagens seriam forçadas a utilizar tecnologias imperfeitas para digitalizar a correspondência privada dos utilizadores por defeito – com consequências terríveis para a privacidade das pessoas. Eles também alertam que isso coloca a UE em rota de colisão com a criptografia forte, porque a lei forçaria os aplicativos criptografados de ponta a ponta (E2EE) a degradar sua segurança para cumprir as demandas de triagem de conteúdo.
As preocupações com a proposta são tão agudas que o próprio supervisor de protecção de dados do bloco alertou no ano passado que representa um ponto de viragem para os direitos democráticos. Um serviço de aconselhamento jurídico do Conselho Europeu também considera que é incompatível com a legislação da UE, devido a uma fuga de informação da sua avaliação. A legislação da UE proíbe a imposição de uma obrigação geral de monitorização, por isso, se a lei for aprovada, é quase certo que enfrentará um desafio legal.
Até agora, os colegisladores da UE não conseguiram chegar a acordo sobre o caminho a seguir neste dossiê. Mas o projecto de lei continua em vigor – tal como todos os riscos que representa.
Pedidos abrangentes de detecção de CSAM
A proposta original da Comissão contém um requisito de que as plataformas, uma vez fornecidas com uma ordem de detecção, devem verificar as mensagens das pessoas, não apenas em busca de CSAM conhecido (ou seja, imagens de abuso infantil que foram identificadas anteriormente e codificadas para detecção), mas também de CSAM desconhecido ( ou seja, novas imagens de abuso). Isto aumentaria ainda mais o desafio técnico de deteção de conteúdos ilegais com um elevado grau de precisão e poucos falsos positivos.
Um outro componente da proposta da Comissão exige que as plataformas identifiquem atividades de aliciamento em tempo real. Isso significa que, além de digitalizar uploads de imagens para CSAM, os aplicativos precisariam ser capazes de analisar o conteúdo das comunicações dos usuários para tentar entender quando um usuário adulto pode estar tentando atrair um menor para se envolver em atividades sexuais.
O uso de ferramentas automatizadas para detectar sinais de comportamento que possam prefigurar abusos futuros em interações gerais entre usuários de aplicativos sugere um enorme escopo para interpretar mal conversas inocentes. Tomados em conjunto, os amplos requisitos de detecção de CSAM da Comissão transformariam as principais plataformas de mensagens em ferramentas de vigilância em massa, sugerem os opositores da proposta.
“Controle de bate-papo” é o principal apelido que eles criaram para abranger as preocupações sobre a aprovação de uma lei pela UE que exige a varredura geral de mensagens digitais de cidadãos particulares – incluindo a triagem de trocas de texto que as pessoas estão enviando.
E quanto à criptografia de ponta a ponta?
A proposta original da Comissão de um regulamento para combater o abuso sexual infantil também não isenta as plataformas E2EE dos requisitos de deteção de CSAM.
E está claro que, uma vez que o uso de E2EE significa que tais plataformas não têm a capacidade de acessar versões legíveis das comunicações dos usuários – porque não possuem chaves de criptografia – os serviços de mensagens seguras enfrentariam um problema específico de conformidade se fossem legalmente necessários para compreender o conteúdo que não podem ver.
Os críticos do plano da UE alertam, portanto, que a lei forçará as plataformas de mensagens E2EE a rebaixar as principais proteções de segurança que oferecem, implementando tecnologias arriscadas, como a verificação do lado do cliente, como medida de conformidade.
A proposta da Comissão não menciona tecnologias específicas que as plataformas devem implantar para a deteção de CSAM. As decisões são transferidas para um centro da UE de combate ao abuso sexual infantil que a lei estabeleceria. Mas os especialistas prevêem que provavelmente seria usado para forçar a adoção da digitalização do lado do cliente.
Outra possibilidade é que as plataformas que implementaram criptografia forte possam optar por retirar totalmente os seus serviços da região; O Signal Messenger, por exemplo, já avisou anteriormente que abandonaria o mercado em vez de ser forçado por lei a comprometer a segurança do usuário. Esta perspectiva poderia deixar as pessoas na UE sem acesso a aplicações convencionais que utilizam protocolos de segurança E2EE de padrão ouro para proteger as comunicações digitais, como o Signal, ou o WhatsApp de propriedade da Meta, ou o iMessage da Apple, para citar três.
Nenhuma das medidas que a UE elaborou teria o efeito pretendido de prevenir o abuso infantil, afirmam os opositores da proposta. Em vez disso, o impacto que prevêem são consequências horríveis para os utilizadores de aplicações, uma vez que as comunicações privadas de milhões de europeus são expostas a algoritmos de verificação imperfeitos.
Isso, por sua vez, corre o risco de desencadear dezenas de falsos positivos, argumentam eles; milhões de pessoas inocentes poderiam ser erroneamente implicadas em atividades suspeitas, sobrecarregando as autoridades com uma série de relatórios falsos.
O sistema que a proposta da UE prevê teria de expor rotineiramente as mensagens privadas dos cidadãos a terceiros que estariam envolvidos na verificação de relatórios de conteúdos suspeitos que lhes são enviados pelos sistemas de deteção das plataformas. Assim, mesmo que um conteúdo específico sinalizado não acabasse por ser encaminhado às autoridades para investigação, tendo sido identificado como não suspeito num ponto anterior da cadeia de denúncia, ainda assim teria, necessariamente, sido analisado por outra pessoa. do que o remetente e o(s) destinatário(s) pretendido(s). Então RIP, privacidade de comunicação.
Proteger as comunicações pessoais que foram exfiltradas de outras plataformas também representaria um desafio contínuo de segurança, com o risco de que o conteúdo denunciado pudesse ser ainda mais exposto se houvesse práticas de segurança inadequadas aplicadas por qualquer um dos terceiros envolvidos no processamento de relatórios de conteúdo.
As pessoas usam o E2EE por um motivo, e não ter um monte de intermediários mexendo em seus dados é uma ótima opção.
Onde está esse plano assustador agora?
Normalmente, a legislação da UE é uma questão tripartida, com a Comissão a propor legislação e os seus co-legisladores, no Parlamento Europeu e no Conselho, a trabalhar com o executivo do bloco para tentar chegar a um compromisso com o qual todos possam concordar.
No entanto, no caso do regulamento relativo ao abuso infantil, as instituições da UE têm até agora opiniões muito diferentes sobre a proposta.
Há um ano, os legisladores do Parlamento Europeu chegaram a acordo sobre a sua posição negocial, sugerindo revisões importantes à proposta da Comissão. Parlamentares de todo o espectro político apoiaram alterações substanciais que visavam reduzir os riscos de direitos – incluindo o apoio a uma exclusão total das plataformas E2EE dos requisitos de digitalização.
Eles também propuseram limitar a varredura para torná-la muito mais direcionada: adicionar uma condição de que a triagem só deveria ocorrer nas mensagens de indivíduos ou grupos suspeitos de abuso sexual infantil – isto é, em vez de a lei impor a varredura geral em todos os seus usuários assim que uma plataforma recebe uma ordem de detecção.
Uma outra mudança apoiada pelos eurodeputados restringiria a deteção a CSAM conhecidos e desconhecidos, eliminando a exigência de que as plataformas também captassem atividades de aliciamento através da triagem de trocas baseadas em texto.
A versão da proposta do parlamento também pressionou para que outros tipos de medidas fossem incluídas, tais como requisitos nas plataformas para melhorar a protecção da privacidade dos utilizadores, predefinindo perfis para não públicos para diminuir o risco de menores serem descobertos por adultos predadores.
Globalmente, a abordagem dos eurodeputados parece muito mais equilibrada do que a proposta original da Comissão. No entanto, desde então, as eleições na UE reviram a composição do parlamento. As opiniões da nova contratação de deputados europeus são menos claras.
Há também ainda a questão de saber o que fará o Conselho Europeu, o órgão composto por representantes dos governos dos Estados-Membros. Ainda não chegou a acordo sobre um mandato de negociação sobre o dossiê, razão pela qual as discussões com o parlamento não puderam ser iniciadas.
Qualquer pessoa que optasse pela privacidade seria rebaixada para um conjunto básico de recursos no estilo de telefone mudo, apenas com texto e áudio. Sim, é isso que os legisladores regionais têm considerado.
O Conselho ignorou os apelos dos eurodeputados do ano passado para se alinharem com o seu compromisso. Em vez disso, os Estados-Membros parecem favorecer uma posição muito mais próxima da proposta original da Comissão de “verificar tudo”. Mas também existem divisões entre os Estados-membros sobre como proceder. E até agora, um número suficiente de países opôs-se aos textos de compromisso apresentados pela Presidência do Conselho para chegar a acordo sobre um mandato.
As propostas que vazaram durante as discussões do Conselho sugerem que os governos dos Estados membros ainda estão tentando preservar a capacidade de varredura geral de conteúdo. Mas um texto de compromisso de maio de 2024 tentou ajustar a forma como isso foi apresentado – descrevendo eufemisticamente o requisito legal nas plataformas de mensagens como “moderação de upload”.
Isso desencadeou uma intervenção pública da presidente da Signal, Meredith Whittaker, que acusou os legisladores da UE de se entregarem a “jogos retóricos” numa tentativa de obter apoio para a digitalização em massa das comunicações dos cidadãos. Isso é algo que ela alertou em tom sensato que “minaria fundamentalmente a criptografia”.
O texto que vazou para a imprensa na época também propunha que os usuários de aplicativos de mensagens pudessem ser solicitados a consentir que seu conteúdo fosse digitalizado. No entanto, os usuários que não concordassem com a triagem teriam os principais recursos do aplicativo desativados, o que significa que não seriam capazes de enviar imagens ou URLs.
Nesse cenário, os utilizadores de aplicações de mensagens na UE seriam essencialmente forçados a escolher entre proteger a sua privacidade ou ter uma experiência moderna em aplicações de mensagens. Qualquer pessoa que optasse pela privacidade seria rebaixada para um conjunto básico de recursos no estilo dumbphone, apenas de texto e áudio. Sim, é isso que os legisladores regionais têm considerado.
Mais recentemente, há sinais de que o apoio pode estar a diminuir no Conselho para pressionar pela vigilância em massa das mensagens dos cidadãos. No início deste mês, a Netzpolitik cobriu um anúncio do governo holandês dizendo que se absteria de outro compromisso ajustado, citando preocupações sobre as implicações para o E2EE, bem como os riscos de segurança representados pela verificação do lado do cliente.
No início deste mês, a discussão do regulamento também foi retirada de outra agenda do Conselho, aparentemente devido à falta de maioria qualificada.
Mas há um grande número de países da UE que continuam a apoiar o esforço da Comissão para a digitalização generalizada de mensagens. E a actual presidência húngara do Conselho parece empenhada em continuar a tentar encontrar um compromisso. Portanto, o risco não desapareceu.
Os Estados-Membros ainda poderiam chegar a uma versão de uma proposta que satisfaça suficientemente os seus governos para abrir a porta a conversações com os eurodeputados, o que colocaria tudo em jogo no processo de discussões do trílogo à porta fechada da UE. Assim, os riscos para os direitos dos cidadãos europeus — e para a reputação do bloco como defensor da privacidade — continuam elevados.
Notícias de Tecnologia:
Nova interface cérebro-computador bate recorde anterior de velocidade de digitação
A polêmica do Telegram: o que você precisa saber
A transmissão de fax é legal? Sim, mas há restrições
TensorWave acredita que pode quebrar o controle da Nvidia na computação de IA com uma nuvem alimentada por AMD
Dominando o controle de vespas: estratégias comprovadas para proteger sua casa
Os melhores jogos PS5 que aproveitam ao máximo o controle DualSense