ChatControl: o projeto de lei da UE que quer escanear todas as mensagens privadas

Introduction

• A UE está avançando com o ChatControl, um projeto de lei que obrigaria o escaneamento automático de mensagens privadas e imagens em todas as plataformas de mensagens.
• A proposta também se aplica a apps com criptografia de ponta a ponta (E2EE), como Signal e WhatsApp, e não há possibilidade de opt-out.
• A justificativa oficial é o combate ao material de abuso sexual infantil (CSAM), mas isso pode criar um precedente de vigilância em massa sobre 450 milhões de europeus.
• Outros países, como Suíça e Reino Unido, também estão adotando propostas semelhantes de vigilância, abrindo caminho para um monitoramento mais amplo sob o argumento de proteger crianças.

What is ChatControl

• Críticos chamam a proposta de Regulamento de Prevenção e Combate ao Abuso Sexual Infantil (CSAR).

• A proposta transforma em obrigação estatal aquilo que antes era vigilância voluntária por parte das empresas, e foi apresentada após o vencimento da regulação temporária de 2021.

• No fim, o objetivo é permitir que autoridades possam acessar todos os dados digitais por meio do "Roadmap for Lawful Access to Data".

• Scope and Coverage

  • A regulação não se aplica apenas a apps de mensagens, mas a todos os provedores de comunicação privada, incluindo e-mail, apps de namoro, plataformas de jogos, redes sociais e serviços de hospedagem de arquivos (como Google Drive).
  • Isso significa que quase todo serviço digital que permite compartilhar conteúdo pode se tornar alvo de vigilância.

How it Works

• O ChatControl depende de "Client-Side Scanning". O conteúdo é analisado no dispositivo do usuário antes de a mensagem ser criptografada.

• Diferentemente dos métodos tradicionais de vigilância, isso inspeciona automaticamente todas as mensagens e inverte o princípio da presunção de inocência.

• Technical Implementation

  • O sistema escaneia três tipos de conteúdo antes da criptografia: conteúdo ilegal conhecido (comparação de hash), conteúdo potencial desconhecido (análise por IA) e grooming (análise de texto).
  • Se algo suspeito for detectado, o caso é automaticamente reportado às autoridades.

• Why This Breaks Encryption

  • O ChatControl "contorna" a criptografia. Embora a mensagem fique criptografada em trânsito, seu conteúdo já foi analisado antes, o que anula o propósito da criptografia de ponta a ponta (E2EE).
  • Essa tecnologia transforma apps de mensagens criptografadas em spyware.

• Governance Structure

  • Pela proposta, um Centro Europeu para Abuso Sexual Infantil centralizado receberia os relatórios, mas a própria tecnologia de escaneamento não seria controlada por instituições da UE.
  • Os provedores de serviço teriam de coletar informações detalhadas sobre os usuários e também implementar um sistema obrigatório de verificação de idade.
  • Surpreendentemente, o projeto inclui uma cláusula que isenta contas governamentais usadas para "segurança nacional, manutenção da ordem pública e fins militares".

Real-World Impact

• Encryption Concerns

  • A proposta repete a antiga alegação de que a criptografia seria uma ferramenta para dificultar investigações.
  • Ela enfraquece a noção do direito à criptografia que ganhou força após as revelações de Edward Snowden e pode abrir espaço para a criação de uma ferramenta de vigilância de toda a população.

• False Positives

  • Esses sistemas chegam a ter uma taxa de falsos positivos de cerca de 80%. Segundo autoridades policiais da Irlanda, apenas 20,3% dos casos reportados automaticamente continham conteúdo ilegal.
  • Fotos inocentes de família ou prontuários médicos podem ser confundidos, e já houve casos reais de contas fechadas por algoritmos do Google.

• Scientific Opposition

  • Mais de 600 criptógrafos e cientistas de 35 países publicaram uma carta aberta dizendo que o projeto é "tecnicamente impossível", "perigoso para a democracia" e que ameaçaria "completamente" a segurança dos cidadãos europeus.
  • A Comissão não conseguiu apresentar estudos mostrando que essas medidas seriam eficazes para proteger crianças.

• Easily Defeated

  • Criminosos profissionais podem contornar o sistema com facilidade, usando dupla criptografia, compartilhamento de links para plataformas externas, esteganografia (ocultar dados em imagens) e plataformas descentralizadas.
  • Na prática, o sistema tende a capturar apenas criminosos amadores, sendo mais eficaz em cumprir o objetivo de vigilância em massa de civis.

Business Interests

• Industry Players

  • A proposta de CSAR se baseia mais nas alegações de empresas comerciais de vigilância do que em pesquisa independente.
  • Empresas que desenvolvem sistemas de detecção, como o PhotoDNA da Microsoft, fazem lobby pela aprovação da lei para garantir uma posição monopolista no mercado.
  • Esses sistemas podem se tornar proprietários, impossíveis de auditar e dotados de grande poder legal.

• Rhetorical Tactics

  • A comissária europeia Ylva Johansson usa a retórica emocional de que "alguém precisa falar pelas crianças".
  • Trata-se do típico apelo político do tipo "pensem nas crianças", que dificulta um debate racional sobre privacidade e enquadra opositores como se fossem "contra o bem-estar infantil".

EU Country Positions

• Vote Breakdown

  • A favor (12 países): Bulgária, Croácia, Chipre, Dinamarca, França, Hungria, Irlanda, Lituânia, Malta, Portugal, Romênia e Espanha.
  • Contra (7 países): Áustria, Tchéquia, Estônia, Finlândia, Luxemburgo, Países Baixos e Polônia.
  • Indefinidos (8 países): Bélgica, Alemanha, Grécia, Itália, Letônia, Eslováquia, Eslovênia e Suécia.
  • No momento, os países favoráveis não atingem o peso populacional de 65% necessário para aprovar a proposta.

• National Stances

  • Os países de oposição forte apontam preocupações constitucionais e de violação de privacidade, além de rejeitarem vigilância em massa.
  • Os indefinidos estão adotando uma postura cautelosa enquanto analisam detalhes técnicos e jurídicos.

• Current Status

  • Desde 12 de setembro, as posições dos países continuam mudando.

Consequences

• Cybersecurity gets compromised
  • Adicionar vulnerabilidades intencionais à criptografia pode permitir exploração por criminosos ou potências estrangeiras.
  • Em fevereiro de 2024, a Corte Europeia de Direitos Humanos decidiu que enfraquecer a criptografia de forma obrigatória não é necessário em uma sociedade democrática.
• Innovation suffers
  • Empresas europeias de cibersegurança obrigadas a criar backdoors para cumprir a regulação perderiam competitividade no mercado global.
• Tech companies will leave Europe
  • Empresas focadas em privacidade, como Signal e Proton, já consideram interromper operações na Europa ou transferir sua infraestrutura.
• Europe might become dependent on US surveillance
  • Ao terceirizar tecnologia de vigilância para empresas dos EUA, surge o risco de o governo americano acessar dados de cidadãos europeus sob o CLOUD Act.
• Social behavior changes
  • Quando as pessoas passam a agir conscientes de que estão sendo monitoradas, ocorre o "efeito inibidor" (chilling effect), levando à autocensura.

Take Action

• Use as hashtags #ChatControl e #StopScanningMe para divulgar o problema.
• Assine a petição contra a proposta no change.org e acompanhe as atualizações sobre o tema.
• Entre em contato com parlamentares do seu país e pressione pela rejeição do projeto.
• Use ferramentas que respeitam a privacidade, como o Signal.

Conclusion

• É irônico que a Europa, que ajudou a consolidar a privacidade digital com o GDPR, agora tente desmontá-la sistematicamente com o ChatControl.
• A proposta representa uma escolha histórica: a Europa será a primeira democracia a normalizar a vigilância em massa das comunicações privadas, ou decidirá proteger os direitos digitais.
• Regimes autoritários do mundo inteiro estão observando essa decisão, que pode servir de justificativa para ampliar a vigilância em escala global.