"A comunicação encriptada não é um extra opcional, mas um dever"

Uma entrevista com o advogado fiscal, Matthias Baenz, sobre segurança, responsabilidade e confiança dos clientes.

Tax lawyer Matthias Baenz uses Tuta Mail – and believes anyone taking email security seriously should do the same.

A comunicação encriptada tende a ser negligenciada por muitas empresas. No entanto, isso pode ter consequências graves. Sentámo-nos com o utilizador de longa data do Tuta e advogado Matthias Baenz, especializado em direito fiscal, para descobrir onde reside o risco, porque é que muitos advogados ainda não oferecem encriptação e porque é que ele e o seu escritório de advogados fazem as coisas de forma diferente. Baenz também partilha ideias sobre a razão pela qual pequenos passos para adotar ferramentas de comunicação encriptadas podem ajudar os escritórios de advogados a melhorar a proteção de dados e a proteção dos clientes a longo prazo.


Pergunta: Sr. Baenz, como já falámos, antes de o apresentarmos a si e ao seu escritório de advogados, gostaria de saber: Porque é que a comunicação encriptada é tão importante para os advogados?

Resposta: A comunicação encriptada para os advogados não é algo que afecte apenas os advogados - deveria preocupar toda a gente. Mas, para os advogados, existe também a dimensão do direito profissional. Esta assegura que os advogados actuam dentro de um conjunto especial de regras e têm certos deveres de consideração que não se aplicam na esfera privada.

Isto significa que, como advogado, tenho simplesmente um conjunto de regras que me ditam certas coisas, ao passo que, como utilizador privado, posso talvez perguntar-me: Será que isto me afecta de todo? Interessa-me? Considero-o mau? Como advogado, por outro lado, tenho sempre de considerar não só o meu próprio direito profissional, mas acima de tudo os interesses do meu cliente.

Existem diretrizes claras que dizem: Não posso prejudicar os interesses do meu cliente. De resto, estas regras sempre existiram. Mas, no decurso da questão da proteção de dados, surgiram novos riscos, sendo um deles o risco de interferência. E todos os advogados têm de levar isto a sério. Todos os advogados têm o dever especial de garantir que o cliente não seja colocado em risco por fugas de dados, acesso não intencional ou publicação de dados.

Isto só pode ser assegurado através de uma comunicação genuína e encriptada como o Tuta Mail. No entanto, muitos advogados nem sequer estão conscientes de que este é o caso, e que deve ser levado a sério. As precauções técnicas normais no tráfego de correio eletrónico, como o TLS, simplesmente não o conseguem.

Penso que a maioria dos advogados nem sequer sabe o que significa SSL ou TLS. Os fornecedores de correio eletrónico normalmente tranquilizam os utilizadores dizendo que a ligação é encriptada. Isto é frequentemente apresentado da seguinte forma: “Ligação encriptada”. Mas muitas pessoas não sabem que isto só se aplica à ligação ao seu próprio servidor de correio eletrónico. O resto da ligação é basicamente não encriptada.

Isto significa que os dados podem ser interceptados e alterados. Este facto é simplesmente desconhecido e não é levado suficientemente a sério. As pessoas dizem frequentemente: “Bem, o que é que isso tem de mau?” Ou, “Quem é que se deve preocupar com isso?” e, com esta atitude, a ameaça real nem sequer é notada. Na minha opinião, no entanto, a comunicação encriptada não é um extra opcional, mas um dever, especialmente para os advogados.

Turn ON Privacy in one click.

Pergunta: Sim, penso que o tópico “estar a ser mudado” também é muito importante porque a maioria das pessoas não o tem no seu radar. Foi recentemente noticiado nos meios de comunicação social na Alemanha que uma fatura enviada por correio eletrónico por uma empresa foi manipulada. Qual é o risco neste caso e qual é a responsabilidade das empresas quando as mensagens de correio eletrónico, especialmente as facturas, são enviadas sem encriptação? As empresas devem confiar em mensagens de correio eletrónico encriptadas?

Resposta: O risco é enorme e, neste caso, o cliente teve de o aprender da forma mais difícil. Mas, claro, isto aplica-se sempre em ambas as direcções. Talvez devêssemos começar por explicar brevemente qual era o problema neste caso específico.

A conta de correio eletrónico da empresa tinha sido pirateada - pelo menos foi o que o tribunal supôs. Tomemos isso como base. Portanto, alguém interveio - o pirata informático. A conta do destinatário, ou seja, a conta de pagamento, foi alterada para todos os e-mails relativos a documentos de faturação. Tudo o resto parecia exatamente igual. Os e-mails pareciam iguais, apenas o número da conta tinha sido alterado. No entanto, ninguém se apercebeu deste facto, nem a empresa nem o cliente.

O tribunal determinou então duas coisas. Em primeiro lugar, o cliente cumpriu a sua dívida com este pagamento para a conta especificada na fatura? Não, disse o tribunal, não o fez. Por outras palavras, a dívida ainda estava pendente. Este foi o primeiro grande golpe para o cliente - o facto de não ter cumprido a sua dívida, apesar de ter pago 11.000 euros.

O tribunal não podia decidir de outra forma. Se o dinheiro não chega onde deveria chegar, então não foi pago.

A questão de saber se a empresa deveria ter feito algo para evitar a pirataria informática - por exemplo, com e-mails encriptados - era inicialmente irrelevante neste contexto. Só se tornou relevante quando se colocou a questão: “A empresa é responsável pelos danos? O dano não é exatamente o montante que o cliente transferiu a troco de nada?

O tribunal disse: Pode ser, mas não o montante total.

O facto de o tribunal ter dito que ambas as partes contratantes se envolveram numa forma de comunicação arriscada. Assim, aplica-se o princípio de que quem se envolve voluntariamente em algo arriscado deve também suportar o risco como cidadão responsável. Em circunstâncias em que o conhecimento e a experiência estão distribuídos de forma desigual, por exemplo, empresas gigantes versus consumidores, a situação pode ser diferente.

No entanto, neste caso, tratava-se de uma empresa estabelecida, por um lado, e de um cliente estabelecido, por outro. Por conseguinte, o tribunal não pôde provar uma grande diferença de conhecimentos e afirmou: ” Em princípio, ambos suportam o risco”.

No entanto, a empresa acabou por ser “premiada” com um pouco mais de culpa, porque o tribunal disse: “violou outro dever - nomeadamente o dever, ao abrigo do Regulamento Geral sobre a Proteção de Dados, de proteger o seu próprio sistema de TI”.

Just do it. Start small, like me. Set up a Tuta account and use it for sensitive communication.Offer it to your clients. Let it grow slowly without changing everything right away. Don't be afraid of technology. Just do it. Start small, like me. Set up a Tuta account and use it for sensitive communication.Offer it to your clients. Let it grow slowly without changing everything right away. Don't be afraid of technology.

Quando questionado sobre o conselho que Baenz daria a outras firmas de advogados que não têm a certeza de mudar para plataformas de comunicação encriptadas, sugere que comecem com pouco, por exemplo, com uma conta Tuta Mail.

Pergunta: Isso é muito interessante. Isso significa que o cliente deveria ter exigido uma comunicação encriptada?

Resposta: Se quiserem jogar pelo seguro - sim, exatamente. Pode pôr-se a questão assim. O tribunal disse: “Ambos se envolveram nesta comunicação vulnerável, por isso a culpa é de ambos”.

Pergunta: Isso é muito interessante. Para evitar os problemas que descreveu - ou seja, o que os advogados têm de proteger, o que são obrigados a fazer - você e o seu escritório de advogados oferecem várias opções de comunicação encriptada, não apenas o Tuta Mail. Porque é que é tão importante para si que o cliente possa escolher diferentes canais de comunicação?

Resposta: Há dois aspectos diferentes nesta questão. Um aspeto é o facto de eu querer dar ao cliente a possibilidade de escolha. Não se trata de uma obrigação que me é imposta, mas, do meu ponto de vista, não seria correto manter-me fiel a um único sistema e rejeitar tudo o resto. Afinal de contas, não sei que variantes o cliente pode já estar a utilizar. E não quero criar uma barreira adicional, quero tornar tudo o mais simples possível.

É por isso que oferecemos diferentes opções. Se quiser trabalhar com o PGP, pode fazê-lo. Se quiser trabalhar com o Tuta Mail, faça-o. Se tiver outra opção, faça-o de outra forma.

O segundo aspeto é que, se eu colocar a minha comunicação em diferentes ferramentas, crio menos potenciais vectores de ataque num único local. Trata-se de uma espécie de estratégia de divisão para não ficar completamente dependente de um fornecedor e vulnerável a ataques. Não quero gerir 100% da minha comunicação com um único sistema, porque isso acarreta naturalmente um risco.

Pergunta: Como é que os seus clientes reagem a esta situação?

Resposta: Este é, de facto, o cerne da questão. A maioria dos clientes nem sequer tem um sistema de encriptação, quanto mais ideias ou preferências. Quando se aproximam da ideia de que é realmente importante para o seu caso, normalmente adoptam o sistema que eu sugiro. E esse sistema tem sido o Tuta Mail nos últimos dez anos. É importante para os clientes que o sistema funcione. Não querem experimentar ou comparar coisas diferentes. Eles só querem que funcione.

Fiquei muito feliz quando o Tutanota entrou em cena, há pouco mais de dez anos, porque era um sistema muito fácil de implementar. Mesmo com clientes que não gostavam de artifícios técnicos, consegui convencê-los a usar comunicação encriptada de forma permanente. Antes disso, era muito mais difícil, sobretudo com o PGP. Tinha de explicar: “Tem de instalar isto e aquilo, gerar um certificado…”, o que se tornava demasiado trabalhoso para os clientes.

Quando os clientes ultrapassaram a barreira, foi fácil para eles. Para começar a utilizar a comunicação encriptada, nem sequer têm de criar a sua própria conta no Tuta - isso foi e é particularmente agradável. Desta forma, podem continuar a usar o seu programa de correio eletrónico habitual e continuar a comunicar comigo de forma segura através do link de Tutanota, ou Tuta hoje. Através da palavra-passe partilhada, têm acesso a todas as comunicações anteriores a qualquer momento através de um navegador de Internet, pelo que não têm de desencriptar cada mensagem individualmente, podem ver todas as comunicações anteriores através de um link. Isso é ótimo para os clientes.

A única dificuldade era que, por vezes, quando havia interrupções mais longas na comunicação, eu tinha de lhes dizer novamente a palavra-passe. Para facilitar as coisas, normalmente dava-lhes a palavra-passe, não por correio eletrónico, claro, mas através de outro canal seguro. O aspeto prático do Tuta é que posso guardar a palavra-passe do cliente em segurança nos Contactos do Tuta e consultá-la quando for solicitada. Desta forma, posso voltar a dar a palavra-passe ao cliente mesmo passado meio ano ou mais.

Pergunta: Fico muito feliz em saber disso. Tutanota foi lançado há onze anos - portanto, é um pioneiro. Quase me surpreende que não nos tenhamos cruzado antes. (risos) Ainda se lembra da transição nessa altura? Houve algum desafio para a sua firma de advogados quando introduziu o Tutanota?

Turn ON Privacy in one click.

Resposta: Claro que ainda há hoje, para ser justo. Infelizmente, ainda não consegui converter todo o nosso escritório para Tutanota, agora Tuta Mail. Existe a famosa persistência. Se tivéssemos mudado completamente, teríamos de repente novos endereços de correio eletrónico - o que seria absolutamente impossível para muitos clientes. Não estamos a falar de um ou dois clientes, mas de centenas. Isso dá arrepios às pessoas.

Mas quando lhes mostro: Pode continuar a utilizar o seu próprio domínio, se assim o desejar, o seu endereço de correio eletrónico permanece visualmente o mesmo - isso não é problema com o Tuta Mail -, então terá de o configurar e transferir tudo. Isto exige uma coordenação com o fornecedor, alguns ajustes e um esforço pontual. E depois vem o pensamento comercial: O que é que eu ganho com isso? Qual é, de facto, a dimensão do risco? Vale a pena o esforço?

É por isso que acabamos por ficar presos a um modelo de dois sistemas. Convenci alguns parceiros a criarem um acesso Tuta ou a pedirem-me que o crie para eles, ou pelo menos a aceitarem as minhas mensagens de correio eletrónico Tuta encriptadas na sua caixa de correio normal, a abri-las através de uma ligação e de um browser e também a responderem de forma encriptada. Utilizamos este sistema especificamente para assuntos particularmente sensíveis, para mandatos conjuntos ou se quisermos utilizar o princípio do duplo controlo. A maioria dos colegas continua a utilizar o seu sistema habitual para a comunicação quotidiana. Ainda não consegui mudar isso.

Apesar das peculiaridades conhecidas, as pessoas preferem manter aquilo a que estão habituadas. É uma análise clássica do risco e do benefício. Por isso, eu próprio utilizo uma abordagem dupla: o Tuta Mail para assuntos sensíveis, ou seja, praticamente toda a minha comunicação com os clientes, e o Outlook para o resto. Em última análise, trata-se também da encriptação segura dos e-mails no servidor de e-mail, que no meu caso é o Tuta.

Pergunta: É uma solução inteligente. Como avalia a estratégia da Microsoft de transferir tudo para a nuvem e as questões de proteção de dados associadas - também no que diz respeito a um possível acesso dos EUA aos dados? Trata-se de um risco considerável para um escritório de advogados. A nuvem americana - mesmo que os dados sejam armazenados em servidores alemães - é de facto uma opção proibida para as sociedades de advogados?

Resposta: Sem dúvida. É por isso que espero que ainda consigamos fazer a migração completa nos próximos anos. Uma vez efectuada a mudança para o Tuta, tudo funciona como antes. Graças à aplicação e ao cliente de secretária, pode utilizar o Tuta Mail em qualquer lugar. Ao contrário do Outlook, onde é necessário trabalhar via IMAP, dependendo do cliente, tudo é muito mais simples.

Leia a comparação detalhada do Tuta Mail com o Outlook.

Pergunta: Agora, vamos a si: Pode apresentar-se brevemente e apresentar o seu escritório de advogados? Em que é que se especializa?

Resposta: Com todo o prazer. Somos um escritório de advogados de média dimensão com escritórios em Hamburgo, Berlim, Potsdam, Schwerin, Rostock e também no estrangeiro. A nossa atividade centra-se no aconselhamento de empresas de média dimensão, mas também de clientes individuais - sobretudo em direito comercial e fiscal. Somos advogados, consultores fiscais e auditores.

Aqui em Schwerin, temos um departamento fiscal que se ocupa de todas as questões fiscais dos nossos clientes, desde a contabilidade até às declarações fiscais e às demonstrações financeiras anuais. Eu próprio sou advogado especializado em direito fiscal e há muitos anos que lido intensamente com questões de direito fiscal - especialmente em casos críticos: auditorias fiscais difíceis, divulgações voluntárias, processos penais por alegada evasão fiscal. É aqui que eu entro em ação.

Também presto apoio na redação de contratos, especialmente quando o foco é a otimização fiscal. Isto não é algo que um consultor fiscal tradicional possa fazer sozinho; é necessário um advogado especializado para a implementação. Por isso, sou frequentemente o elo de ligação entre as questões fiscais e a sua implementação legal - por exemplo, no caso de estruturas de direito societário, testamentos, contratos de casamento ou questões sensíveis semelhantes.

Questão: Trata-se de dados muito sensíveis. Percebo porque é que ficou satisfeito quando o Tutanota chegou ao mercado.

Resposta: Sim, sem dúvida. Para mim, foi uma justificação interna para lidar intensamente com a tecnologia. Leva tempo - para além do trabalho profissional, os clientes, a jurisprudência, a legislação. Mas como advogado fiscal em particular, onde lidamos frequentemente com dados muito sensíveis, alguns dos quais são relevantes ao abrigo do direito penal, era importante para mim. Quero que a minha comunicação seja tão segura como uma conversa confidencial numa sala segura.

Turn ON Privacy in one click.

Pergunta: É uma óptima atitude, que gostaríamos de ver com mais frequência. Surpreendentemente, a tendência está a ir na direção certa. Quando olhamos para escândalos como o das facturas manipuladas através de e-mails pirateados que mencionámos, que papel pensa que a comunicação segura desempenhará no futuro?

Resposta: Será cada vez mais importante. Preocupam-me dois desenvolvimentos: em primeiro lugar, a tendência nos EUA de o Presidente reivindicar para si um domínio que não está sujeito a controlo judicial. Isto é dificilmente compreensível para a nossa compreensão do direito na Alemanha, mas é levado a sério nesse país. Assim, a proteção jurídica deixa praticamente de existir nestes domínios.

Naturalmente, isto também afecta as empresas que estão sujeitas à lei dos EUA, à palavra-chave Patriot Act e à soberania digital. Mesmo que os servidores estejam localizados na Europa: se uma empresa americana for solicitada a entregar dados às autoridades americanas, tem de o fazer. Promessas como “Não o faremos” não valem nada numa emergência. Isto também se aplica à Microsoft.

Por outro lado, existem esforços políticos na Europa para enfraquecer a encriptação através de backdoors. O chamado ” chat control”, por exemplo: Pretendem permitir uma boa encriptação, mas criar acesso para as autoridades de investigação. Para mim, como advogado, isso é impossível. Não existe uma backdoor só para os bons da fita. Quando se tem acesso, acaba por se abrir a porta a outros.

Pergunta: Voltemos à soberania digital na Europa. Onde estaremos daqui a cinco anos? Nessa altura, as autoridades ainda estarão a utilizar a Microsoft?

Resposta: Espero que não, ou pelo menos não na sua forma atual. Há abordagens, por exemplo em Schleswig-Holstein, mas receio que não estejamos lá daqui a cinco anos. Talvez daqui a dez. Um grande problema é a consultoria informática prestada pelas autoridades. Muitas vezes, mantêm-se fiéis às suas normas porque funcionam. Os problemas ou as preocupações são então frequentemente suprimidos.

É o que acontece com o processo clínico eletrónico dos doentes. É basicamente bom, mas mal implementado. Em vez de fazerem sempre tudo a partir do zero, as autoridades poderiam utilizar abordagens de código aberto e desenvolvê-las, como a Nextcloud ou a Tuta Mail, que na Alemanha tem muitas empresas boas. Em vez disso, a roda está constantemente a ser reinventada e cada um está a cozinhar a sua própria sopa. Isto custa tempo e dinheiro e não resulta em nada.

Pergunta: Para terminar: Que conselhos tem para os escritórios de advogados que ainda não têm a certeza se devem passar a utilizar comunicações encriptadas?

Resposta: Façam-no. Comece devagar, como eu. Crie uma conta Tuta e utilize-a para comunicações sensíveis. Ofereça-a aos seus clientes. Deixe-o crescer lentamente sem mudar tudo de imediato. Não tenha medo da tecnologia - este seria o meu conselho.

Pergunta: Então, é só ir em frente. Esse também é sempre o meu conselho. Dê pequenos passos no sentido de uma melhor proteção de dados e de uma melhor segurança, porque, infelizmente, não existe um interrutor mágico que só tenha de ser acionado uma vez. Mas os pequenos passos podem ser muito importantes. Sr. Baenz, muito obrigado pela entrevista; gostaria de voltar a falar consigo em breve!

Resposta: Muito obrigado, foi um prazer.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.