Novos poderes abrangentes poderiam permitir ao Reino Unido bloquear grandes plataformas de tecnologia
Novos poderes poderosos poderiam permitir ao Reino Unido bloquear grandes plataformas de tecnologia
O regulador de comunicações do Reino Unido, Ofcom, afirma estar preparado para “interferir” em plataformas tecnológicas que não cumpram a controversa nova Lei de Segurança Online do país, incluindo cortá-las dos sistemas de pagamento ou até mesmo bloqueá-las no Reino Unido.
A lei – uma extensa legislação que abrange uma série de questões, desde como as plataformas tecnológicas devem proteger as crianças do abuso até publicidade enganosa e conteúdo terrorista – tornou-se lei em outubro. Hoje, o regulador divulgou sua primeira rodada de propostas sobre como a lei será implementada e o que as empresas de tecnologia precisarão fazer para cumprir.
As regulamentações propostas obrigariam as grandes empresas de tecnologia a abordar as formas de preparação de crianças para o abuso em suas plataformas, e a ter equipes de confiança e segurança “adequadas” para limitar a disseminação de conteúdo prejudicial. As empresas também terão que nomear um indivíduo no Reino Unido que possa ser responsabilizado pessoalmente por violações.
“Nossa atividade de supervisão começa hoje”, diz Gill Whitehead, ex-executiva do Google que agora chefia o Grupo de Segurança Online do Ofcom. “A partir de hoje, estaremos supervisionando individualmente as maiores empresas e as empresas que consideramos ter os riscos mais elevados de certos tipos de danos ilegais… As empresas de tecnologia precisam agir e realmente tomar medidas.
As propostas do Ofcom dão alguma clareza sobre o que as empresas de tecnologia precisarão fazer para evitar penalidades por violar a lei, que pode incluir multas de até 10% de sua receita global e acusações criminais contra executivos. Mas as propostas dificilmente tranquilizarão as plataformas de mensagens e os defensores da privacidade online, que argumentam que a lei fará com que as plataformas enfraqueçam a criptografia de ponta a ponta e criem backdoors em seus serviços, expondo-os a violações de privacidade e riscos de segurança.
- Hulu e Disney+ estão se fundindo em um único aplicativo
- O Google tem como objetivo tornar as compras de Natal mais fáceis c...
- Disney+ e Hulu se fundindo em um único aplicativo, versão beta prev...
Ao defender a Lei de Segurança Online, o governo e seus apoiadores a retrataram como essencial para proteger as crianças online. A primeira ronda de propostas do Ofcom, seguida de mais consultas ao longo de 2024, foca bastante em limitar o acesso de menores a conteúdos perturbadores ou perigosos e em evitar que eles sejam preparados por potenciais abusadores.
O Ofcom diz que sua pesquisa mostra que três em cada cinco crianças entre 11 e 18 anos no Reino Unido receberam abordagens indesejadas que as fizeram se sentir desconfortáveis online e que uma em cada seis recebeu ou foi solicitada a compartilhar imagens nuas ou seminuas. Solicitações de amizade “descontroladas” são usadas por adultos que procuram preparar crianças para abuso, diz Whitehead. De acordo com as propostas do Ofcom, as empresas precisariam adotar medidas para evitar que crianças sejam abordadas por pessoas fora de suas redes imediatas, incluindo tornar impossível para contas com as quais não estejam conectadas enviarem mensagens diretas. Suas listas de amigos seriam ocultas para outros usuários, e eles não apareceriam nas listas de conexões deles.
Para cumprir isso, provavelmente será necessário que plataformas e websites melhorem sua capacidade de verificar a idade dos usuários, o que significa coletar mais dados sobre as pessoas que acessam seus serviços. A Wikipedia afirmou que pode ter que bloquear o acesso dos usuários do Reino Unido, pois cumprir isso “violaria nosso compromisso de coletar dados mínimos sobre leitores e colaboradores.” Empresas no Reino Unido já estão sujeitas a algumas regulamentações que as obrigam, por exemplo, a impedir que menores acessem anúncios de produtos restritos por idade, mas até agora tiveram dificuldades em implementar serviços de restrição de idade aceitáveis tanto para os reguladores quanto para os clientes, de acordo com Geraint Lloyd-Taylor, parceiro do escritório de advocacia Lewis Silkin. Lloyd-Taylor afirma que “é necessário foco em soluções, não apenas na identificação dos problemas.”
Whitehead diz que o Ofcom divulgará mais detalhes sobre abordagens específicas para verificação de idade em outra consulta no próximo mês.
Uma das cláusulas mais controversas da Lei de Segurança Online dita que as empresas que oferecem comunicações peer-to-peer, como aplicativos de mensagens como o WhatsApp, devem tomar medidas para garantir que seus serviços não sejam usados para transmitir material de abuso sexual infantil (CSAM). Isso significa que as empresas precisam encontrar uma maneira de escanear ou pesquisar o conteúdo das mensagens dos usuários, algo que especialistas em segurança e executivos de tecnologia afirmam ser impossível sem quebrar a criptografia de ponta a ponta usada para manter as plataformas privadas.
Sob a criptografia de ponta a ponta, apenas o remetente e o destinatário de uma mensagem podem visualizar seu conteúdo – nem mesmo o operador da plataforma pode decifrá-lo. Para atender aos requisitos da lei, as plataformas teriam que ser capazes de examinar as mensagens dos usuários, provavelmente usando a chamada verificação do lado do cliente, essencialmente visualizando a mensagem no nível do dispositivo – algo que ativistas da privacidade equiparam a colocar um spyware no telefone do usuário. Isso, segundo eles, cria uma porta dos fundos que pode ser explorada por serviços de segurança ou cibercriminosos.
“Vamos assumir que o governo do Reino Unido é completamente virtuoso. E vamos assumir que eles usarão essa tecnologia apenas para o propósito pretendido. Não importa porque … você não pode impedir outros atores de usá-la se eles te hackearem,” diz Harry Halpin, CEO e fundador da empresa de tecnologia de privacidade NYM. “O que significa que não apenas o governo do Reino Unido estará lendo suas mensagens e terá acesso ao seu dispositivo, mas também governos estrangeiros e criminosos cibernéticos.”
O serviço de mensagens do Meta’s WhatsApp, assim como a plataforma criptografada Signal, ameaçou deixar o Reino Unido devido às propostas.
As regras propostas pela Ofcom dizem que as plataformas públicas, aquelas que não são criptografadas, devem usar “combinação de hash” para identificar o CSAM. Essa tecnologia, que já é usada pelo Google e outros, compara imagens a um banco de dados pré-existente de imagens ilegais usando hashes criptográficos – essencialmente, códigos de identidade criptografados. Defensores da tecnologia, incluindo ONGs de proteção à criança, argumentaram que isso preserva a privacidade dos usuários, pois não significa olhar ativamente suas imagens, apenas comparar hashes. Críticos dizem que isso não é necessariamente eficaz, pois é relativamente fácil enganar o sistema. “Você só precisa mudar um pixel e o hash muda completamente,” Alan Woodward, professor de cibersegurança da Universidade de Surrey, disse ao ENBLE em setembro, antes que a lei entrasse em vigor.
É improvável que a mesma tecnologia possa ser usada em comunicações privadas e criptografadas de ponta a ponta sem comprometer essas proteções.
Em 2021, a Apple disse que estava desenvolvendo uma ferramenta de detecção de CSAM “preservadora da privacidade” para o iCloud, baseada em combinação de hash. Em dezembro do ano passado, ela abandonou a iniciativa, afirmando posteriormente que examinar os dados privados do iCloud dos usuários criaria riscos de segurança e “injetaria o potencial de um declive escorregadio de consequências indesejadas. Examinar um tipo de conteúdo, por exemplo, abre a porta para vigilância em massa e pode criar o desejo de pesquisar outros sistemas de mensagens criptografadas em diferentes tipos de conteúdo.”
Andy Yen, fundador e CEO da Proton, que oferece serviços de email, navegação segura e outros, diz que as discussões sobre o uso de combinação de hash são um passo positivo “em comparação com o ponto de partida do Online Safety Act”.
“Embora ainda precisemos de clareza sobre os requisitos exatos para onde a combinação de hash será exigida, isso é uma vitória para a privacidade,” diz Yen. Mas, ele acrescenta, “a combinação de hash não é a solução perfeita para proteção da privacidade que alguns podem alegar e estamos preocupados com os impactos potenciais em serviços de compartilhamento e armazenamento de arquivos… A combinação de hash seria uma solução temporária que acarreta outros riscos.”
A regra de combinação de hash se aplicaria apenas a serviços públicos, não a mensageiros privados, de acordo com Whitehead. Mas “para esses serviços [criptografados], o que estamos dizendo é: ‘Seus deveres de segurança ainda se aplicam’,” diz ela. Essas plataformas terão que implantar ou desenvolver tecnologia “acreditada” para limitar a disseminação de CSAM, e mais consultas serão realizadas no próximo ano.
“Serviços criptografados representam um risco maior de compartilhamento de material de abuso sexual infantil em suas plataformas, e para serviços que escolhem executar seus serviços de mensagens e compartilhamento de arquivos criptografados, eles ainda precisam cumprir os deveres de segurança,” diz ela, enfatizando significativamente a palavra “escolher”.
As regras propostas hoje também afirmam que as plataformas de tecnologia precisarão ter caminhos claros para que os usuários relatem conteúdo prejudicial ou bloqueiem ou relatem contas problemáticas. As empresas que usam algoritmos para recomendar conteúdo aos usuários precisarão realizar testes de segurança. E elas precisarão ter equipes de moderação de conteúdo e busca “bem equipadas e treinadas” para gerenciar o que acontece em suas plataformas.
A lei se aplica a qualquer empresa que tenha usuários no Reino Unido, mesmo aquelas sem sede no país. Whitehead diz que ela acredita que o tamanho do mercado do Reino Unido significa que as empresas terão um forte incentivo para cumprir. Aquelas que não o fizerem poderão enfrentar graves consequências.
“Temos poder de fiscalização nessas situações. Temos o poder de multar até 10% da receita global, temos o poder de processar gerentes seniores e temos o poder de interromper serviços,” diz Whitehead. Bloquear plataformas não é a primeira opção, acrescenta ela – a reguladora prefere “entrar em contato com os serviços e trabalhar com eles para a conformidade,” mas é uma opção. “Nós temos esses poderes,” ela diz.
