Europol declara guerra às mensagens encriptadas que travam investigações. PJ juntou-se ao alerta

Como garantir a segurança e a privacidade dos dados, permitindo, ao mesmo tempo, a investigação criminal num mundo assumidamente virtual, onde as comunicações, as transações e os crimes se fazem cada vez mais online? Trinta e dois chefes das polícias europeias lançaram este mês um alerta sério sobre o risco para a segurança pública do crescente uso da encriptação ponta-a-ponta das comunicações nas plataformas de mensagens. “Prejudica a capacidade de investigar e prevenir crimes”, alegam.

 

Portugal esteve representado pelo diretor Nacional da PJ, Luís Neves, que lembrou ao DN a Declaração Conjunta de Chefes de Polícia Europeus  - Declaração de Lisboa - sobre Metadados e Investigação Criminal, que resultou de um encontro que decorreu no ano passado na sede desta Polícia, visando alertar para as dificuldades colocadas à investigação criminal devido à proibição do armazenamento dos metadados das comunicações, que deixou os investigadores sem acesso ao histórico das comunicações de suspeitos.

 

“Sem metadados e, desde há alguns anos com as comunicações encriptadas, as polícias vão ter cada vez mais dificuldades em resolver crimes e em combater organizações criminosas tecnologicamente capacitadas e multifacetadas para escapar ao controlo das autoridades. Esperemos que nunca cheguemos a um patamar de dificuldades em que seja preciso recorrer a medidas de exceção”, adiantou Luís Neves, à margem da reunião de Londres.

 

Numa declaração conjunta, a Europol e a National Crime Agency, do Reino Unido, exortam os Governos e empresas como a Meta (dona do Facebook, do Instagram e do Whats- App) a “tomarem medidas urgentes para garantir a segurança pública em todas as plataformas tecnológicas”.

 

Em causa está a decisão comercial anunciada, em dezembro, pela Meta de fazer, de forma automática, a encriptação ponta-a-ponta dos dados trocados na sua aplicação de mensagens Messenger, depois de já o fazer no WhatsApp. Isso significa que a empresa deixa de deter ou vigiar conteúdos ilegais e, por maioria de razão, não poderá nem denunciá-los, nem fornecê-los às autoridades quando o solicitam e estão mandatadas para tal. Desde 2016 já existia essa possibilidade para o utilizador, mas era opcional, o que deixa agora de acontecer. A criptografia ponta-a-ponta protege mensagens durante o processo de transferência, com o conteúdo só acessível pelo remetente e pelo destinatário.

 

Como principal argumento para este apelo pungente, as polícias apontam a quantidade expressiva de ações preventivas de crimes e de detenções realizadas com recurso a estes dados, que não seriam possíveis com a total encriptação de dados ponta-a-ponta. Num comunicado, a National Crime Agency afirma ter produzido “informações que levaram a 327 detenções, à apreensão de 3,5 toneladas de drogas de classe A, à recuperação de 4,8 milhões de libras, à identificação de 29 ameaças à vida anteriormente desconhecidas e a mais 100 ameaças de danos, entre janeiro e março deste ano”. Isto em apenas três meses e num só país.

 

As polícias consideram que “também prejudicará a capacidade de as autoridades policiais acederem legalmente aos dados no âmbito de investigações para prevenir e processar os crimes mais graves, como o abuso sexual de crianças, o tráfico de seres humanos, o contrabando de droga, o homicídio, a criminalidade económica e o terrorismo”.

 

Por isso, tanto o diretor-geral da NCA, Graeme Biggar, como a diretora executiva da Europol, Catherine de Bolle, salientaram a necessidade de as empresas tecnológicas manterem o acesso legal aos dados por parte das autoridades policiais e garantirem que os seus sistemas operativos, dispositivos e aplicações são seguros desde a conceção. “A encriptação pode ser extremamente benéfica, protegendo os utilizadores de uma série de crimes. No entanto, a implantação brusca e cada vez mais generalizada da cifragem de ponta-a-ponta, sem ter suficientemente em conta a segurança pública, está a colocar os utilizadores em perigo”, afirmou Big- gar na recente reunião, em Londres.

 

“Não podem proteger os seus clientes porque já não conseguem ver os comportamentos ilegais nos seus próprios sistemas”. Mas, alertou, “o abuso de crianças não para só porque as empresas decidem deixar de o ver”.

 

Equilíbrio entre privacidade e segurança

A questão central desta discussão é esta: “A privacidade e a segurança pública não têm de se excluir mutuamente. É necessário encontrar soluções que garantam ambas. Todos nós temos a responsabilidade de garantir que aqueles que procuram abusar destas plataformas sejam identificados e apanhados, e que as plataformas se tornem mais seguras, e não menos. Não nos podemos deixar cegar pelo crime”, admitiu aquele responsável.

 

Isso mesmo defende também o diretor do Observatório de Segurança Interna, em Portugal, que chama a atenção para “a necessidade crescente que as pessoas sentem de ter segurança e privacidade nas suas comunicações, seja para transações bancárias, seja para mensagens pessoais, até porque toda a sua vida está cada vez mais na internet”. Hugo Costeira assume que este “é um equilíbrio necessariamente difícil, porque ao baixar a segurança também podem aumentar outros riscos”, como a burla informática, por exemplo.

 

Mas “o trabalho dos Serviços de Inteligência - nomeadamente para a prevenção e combate ao terrorismo - e da investigação criminal fica mais dificultado”, admite aquele especialista. Em todo o caso, Hugo Costeira considera que as autoridades não ficam necessariamente de mãos atadas. “Há sempre a possibilidade de criar escutas ambientais/externas ou, quando possível, comprometer os equipamentos”, exemplificou.

 

“Percebo a preocupação das polícias, mas não se pode impedir as empresas de desenvolverem a sua tecnologia, desde que as autoridades possam ter acesso aos metadados, o que em Portugal não está nada facilitado.” E acrescenta que “a razão de se terem criado programas informáticos como o polémico Pegasus, entre outros, foi justamente para quebrar essa inviolabilidade”.

 

As apps preferidas dos criminosos

Apesar da encriptação de comunicações ser uma realidade com várias décadas, a revelação dos programas de vigilância da Agência de Segurança Nacional norte-americana pelo antigo analista Edward Snowden, em 2013, veio alargar o mercado das aplicações seguras, e obrigou empresas como Apple, Google e Microsoft a responderem às exigências de privacidade de muitos dos seus clientes.

Embora o WhatsApp seja a aplicação mais popular para mensagens encriptadas, está longe de ser a mais usada pelas redes criminosas. O Signal é outra com grande adesão, e existe uma que não deixa qualquer rasto, o ProtonMail, sediado na Suíça, que não presta qualquer tipo de informação e garante confidencialidade, disse ao DN uma fonte policial. Até ao verão passado, a aplicação mais popular na dark web era o EncroChat, conhecido como o WhatsApp  dos  criminosos.

O desmantelamento deste sistema de comunicações móveis encriptadas levou já à detenção de mais de 6500 pessoas em todo o mundo, revelou a Europol em comunicado, em junho de 2023. E entre os indivíduos detidos a partir do acesso às comunicações do EncroChat esteve o português Ruben Oliveira, também conhecido como Xuxas, considerado o maior traficante de droga nacional.

Segundo a Europol referiu na ocasião, o desmantelamento do EncroChat resultou num total de 7 mil anos em penas de prisão, 900 milhões de euros em ativos criminosos congelados ou apreendidos, na prevenção de ataques violentos, tentativas de homicídio, corrupção e transporte de droga em grande escala.

Para se perceber a dimensão foram apreendidos 900 veículos, mil armas, 80 barcos e 40 aviões. Tudo começou na interceção de 115 milhões de conversas de caráter criminoso que envolveram 60 mil utilizadores. A investigação às origens deste sistema começou em 2017, em França, que descobriu que a empresa operava através de servidores baseados naquele país, mas foi com a cooperação judiciária no âmbito Eurojust que prosseguiu.

Os telefones EncroChat custavam à volta de 1000 euros (mais 1500 euros semestrais para cobertura mundial) e eram apresentados com garantia de total encriptação e não-rastreabilidade das comunicações, dispondo também de um PIN especificamente criado para apagar todo o conteúdo do equipamento, caso os utilizadores se vissem na iminência de serem apanhados pelas autoridades.

Responsabilidade social das plataformas

É neste contexto e com este histórico a seu favor que as polícias vêm apelar à responsabilidade social das plataformas. “As nossas casas estão a tornar-se mais perigosas do que as nossas ruas, uma vez que a criminalidade está a deslocar-se para a internet. As empresas tecnológicas têm a responsabilidade social de criar um ambiente mais seguro, onde as autoridades policiais e a Justiça possam fazer o seu trabalho. Se a polícia perder a capacidade de recolher provas, a nossa sociedade não será capaz de proteger as pessoas de se tornarem vítimas de crimes”, disse Catherine de Bolle, diretora executiva da Europol na reunião ocorrida este mês.

Nos últimos anos, as denúncias feitas pelas próprias plataformas “contribuíram para que a NCA e a polícia britânica protegessem cerca de 1200 crianças e prendessem cerca de 800 suspeitos todos os meses”, diz a agência em comunicado. No entanto, a NCA estima que a grande maioria das denúncias (92% do Facebook e 85% do Instagram) que são atualmente divulgadas à polícia do Reino Unido todos os anos se perderão em resultado desta decisão. Um exemplo seria uma denúncia recente de 200 páginas sobre um caso internacional de extorsão sexual, que identificou várias contas suspeitas que se faziam passar por mulheres para aliciar jovens rapazes no Reino Unido e no estrangeiro a partilharem imagens e vídeos indecentes deles próprios, com o objetivo de os chantagear financeiramente.

Fontes policiais referem ao DN que em Portugal, como noutros países, nem sempre há uma colaboração atempada com as autoridades da parte das plataformas tecnológicas. E, mesmo com decisões judiciais, costuma ser difícil a remoção de imagens ou acusações falsas atentatórias do bom nome, por exemplo, alegam.

Nova Lei dos Metadados

Em novembro de 2022 entrou em vigor um regulamento comunitário que consagra um conjunto de regras para os serviços digitais e para a Inteligência Artificial, o chamado Digital Act. Mas, pela extensão das preocupações agora manifestadas pela Europol, ainda não será o necessário para assegurar as garantias de acesso da investigação criminal.

Só em fevereiro deste ano entrou em vigor a nova Lei dos Metadados, que altera a de 2008, e estipula que a conservação dos dados de tráfego e de localização para fins de investigação criminal passa a estar sujeita a autorização judicial por parte do Supremo Tribunal de Justiça e não por outra instância.

Os dados “apenas podem ser objeto de conservação mediante autorização judicial, por parte de uma formação das secções criminais do Supremo Tribunal de Justiça, fundada na necessidade de prosseguir fins que se prendem, exclusivamente, com a investigação, deteção e repressão de crimes graves por partes das autoridades competentes, devendo o pedido de conservação ser decidido no prazo máximo de 72 horas”. Na formulação anterior, que o Tribunal Constitucional chumbou, previa-se a conservação indiscriminada, por parte das operadoras de comunicações, dos dados de tráfego e de localização pelo período de três meses, para fins de investigação criminal, independentemente de pedido de autorização judicial. Uma situação que era mais favorável às pretensões das polícias.

 

 

Link

21/06/2024 06:17:57