Uma polêmica proposta legislativa da União Europeia para escanear as mensagens privadas dos cidadãos na tentativa de detectar material de abuso sexual infantil (CSAM) representa um risco para o futuro da segurança na web, alertou Meredith Whittaker em uma postagem pública em um blog na segunda-feira. Ela é a presidente da fundação sem fins lucrativos por trás do aplicativo de mensagens criptografadas de ponta a ponta (E2EE) Signal.
“Não há como implementar tais propostas no contexto de comunicações criptografadas de ponta a ponta sem minar fundamentalmente a criptografia e criar uma vulnerabilidade perigosa na infraestrutura básica que teria implicações globais bem além da Europa”, ela escreveu.
A Comissão Europeia apresentou a proposta original para escaneamento em massa de aplicativos de mensagens privadas para combater a disseminação de CSAM online em maio de 2022. Desde então, os membros do Parlamento Europeu se uniram para rejeitar a abordagem. Eles também sugeriram um caminho alternativo no outono passado, que excluia aplicativos E2EE do escaneamento. No entanto, o Conselho Europeu, o órgão legislativo composto por representantes dos governos dos Estados-Membros, continua a pressionar para que plataformas fortemente criptografadas permaneçam dentro do escopo da lei de escaneamento.
A proposta mais recente do Conselho, apresentada em maio sob a presidência belga, inclui um requisito de que os “provedores de serviços de comunicação interpessoal” (também conhecidos como aplicativos de mensagens) instalem e operem o que o texto preliminar descreve como “tecnologias de moderação de upload”, de acordo com um texto publicado pelo Netzpolitik.
O Artigo 10a, que contém o plano de moderação de upload, afirma que essas tecnologias seriam esperadas “detectar, antes da transmissão, a disseminação de material conhecido de abuso sexual infantil ou de novo material de abuso sexual infantil”.
No mês passado, a Euractiv relatou que a proposta revisada exigiria que os usuários de aplicativos de mensagens E2EE consentissem com o escaneamento para detectar CSAM. Os usuários que não consentissem seriam impedidos de usar recursos que envolvem o envio de conteúdo visual ou URLs, informou também — essencialmente rebaixando sua experiência de mensagens para texto básico e áudio.
A declaração de Whittaker critica o plano do Conselho como uma tentativa de utilizar “jogos retóricos” para tentar rebatizar o escaneamento do lado do cliente, a controversa tecnologia que especialistas em segurança e privacidade argumentam ser incompatível com a criptografia forte que suporta comunicações confidenciais.
“Mandar o escaneamento em massa de comunicações privadas mina fundamentalmente a criptografia. Ponto final”, ela enfatizou. “Seja isso realizado por meio de interferência, por exemplo, na geração de números aleatórios de um algoritmo de criptografia, ou pela implementação de um sistema de chave de escotilha, ou forçando as comunicações a passar por um sistema de vigilância antes de serem criptografadas.”
O supervisor europeu de proteção de dados também expressou preocupação. No ano passado, ele alertou que o plano representa uma ameaça direta aos valores democráticos em uma sociedade livre e aberta.
A pressão sobre os governos para forçar aplicativos E2EE a escanear mensagens privadas, enquanto isso, provavelmente vem das forças de segurança.
De volta em abril, chefes de polícia europeus divulgaram uma declaração conjunta pedindo às plataformas que projetassem sistemas de segurança de forma que ainda pudessem identificar atividades ilegais e enviar relatórios sobre o conteúdo das mensagens para as forças de segurança. Sua chamada por “soluções técnicas” para garantir “acesso legal” a dados criptografados não especificou como as plataformas deveriam alcançar essa manobra. Mas, como relatamos na época, o lobby foi por alguma forma de escaneamento do lado do cliente. Não parece ser uma coincidência, portanto, que poucas semanas depois o Conselho tenha apresentado sua proposta de “moderação de upload”.
O texto preliminar contém algumas declarações que tentam esconder uma gigantesca lacuna de segurança e privacidade que a “moderação de upload” implica — incluindo uma linha que afirma que “sem prejuízo ao Artigo 10a, esta Regulação não deve proibir ou impossibilitar a criptografia de ponta a ponta”; bem como uma declaração de que os provedores de serviços não serão obrigados a descriptografar ou fornecer acesso aos dados E2EE; uma cláusula afirmando que eles não devem introduzir riscos de cibersegurança “para os quais não é possível tomar medidas eficazes para mitigar tal risco”; e outra linha afirmando que os provedores de serviços não devem ser capazes de “deduzir o conteúdo das comunicações”.
“São todos sentimentos agradáveis, e eles fazem da proposta um paradoxo autoanulador”, Whittaker disse ao TechCrunch quando solicitada sua resposta a essas provisões. “Porque o que está sendo proposto — adicionar escaneamento obrigatório às comunicações criptografadas de ponta a ponta — minaria a criptografia e criaria uma vulnerabilidade significativa.”
A Comissão e a presidência belga do Conselho foram contatadas para responder às preocupações dela, mas até o momento da publicação nenhuma delas havia respondido. A elaboração de leis da UE normalmente é um processo tripartido — então ainda não está claro onde o bloco vai acabar em relação ao escaneamento de CSAM. Uma vez que o Conselho chegue a um acordo sobre sua posição, as negociações de trílogo começam com o parlamento e a Comissão para buscar um compromisso final. Mas também vale ressaltar que a composição do parlamento mudou desde que os membros do Parlamento concordaram com seu mandato de negociação no ano passado, após as eleições recentes da UE.
O plano da UE de forçar aplicativos de mensagens a escanear CSAM corre o risco de milhões de falsos positivos, advertem especialistas
O plano da UE de escanear CSAM representa um ponto de inflexão para os direitos democráticos, advertem especialistas
