Carta aberta contra o ProtectEU
Novo nome, mesmos problemas: A UE chama agora ao Chat Control "ProtectEU", mas tem os mesmos problemas de backdoor que antes.
Matthias Pfau, Diretor Executivo da Tuta, adverte que, se a UE continuar nesta via, corre o risco de perder empresas inovadoras e centradas na privacidade e a confiança dos seus cidadãos:
“A encriptação forte é essencial para proteger os direitos humanos e a infraestrutura digital da Europa. Qualquer tentativa de conceder às autoridades policiais um acesso excecional introduziria vulnerabilidades perigosas. Não existe uma “bala de prata” técnica, não é possível o acesso apenas para os “bons da fita”. As chamadas soluções como a verificação do lado do cliente minam a encriptação e abrem uma porta das traseiras para todos - também para os criminosos e para a vigilância patrocinada pelo Estado. Exortamos os líderes da UE a nunca enfraquecerem a segurança ao elaborarem o Roteiro Tecnológico da Encriptação”, afirma Matthias Pfau, Diretor Executivo da Tuta Mail.
A encriptação é fundamental para a segurança de todos e enfraquecê-la pode ter consequências devastadoras, como ficou demonstrado pelos recentes ataques de piratas informáticos chineses a fornecedores de telecomunicações dos EUA. Esta foi uma das piores violações de segurança da história dos EUA e só foi possível porque estes sistemas de telecomunicações desactualizados não utilizam a encriptação de ponta a ponta. Na sequência do hack do Salt Typhoon, as forças armadas suecas e a Agência Americana de Cibersegurança e Segurança de Infra-estruturas (CISA) recomendaram o Signal, uma alternativa ao WhatsApp com encriptação de ponta a ponta, para proteger as comunicações sensíveis.
Na Tuta, afirmamos que não devem ser permitidas backdoors à encriptação - porque os agentes maliciosos irão abusar delas.
Pontos-chave para se opor ao ProtectEU
-
Ameaçaaos direitos fundamentais e à segurança: O plano da UE para desenvolver um roteiro tecnológico sobre encriptação inclui a ideia de permitir o acesso das autoridades policiais a dados encriptados.
-
Tecnicamente impossível: Os peritos em criptografia sublinham que é impossível facultar esse acesso sem enfraquecer a cifragem; qualquer “acesso excecional” introduz vulnerabilidades que podem ser exploradas por agentes maliciosos e regimes autoritários.
-
Soluções imperfeitas: Propostas como o scanning do lado do cliente não preservam a privacidade; permitem a vigilância em massa e aumentam o risco de violações da segurança.
-
A encriptação deve ser de extremo a extremo: Uma encriptação forte é crucial para a salvaguarda dos direitos humanos e a segurança das infra-estruturas digitais em toda a Europa.
Carta aberta à UE em 26 de maio de 2025
89 organizações da sociedade civil, empresas e peritos em cibersegurança apelam à Comissão Europeia para que defenda uma encriptação forte
Em suma, a carta aberta relativa à ProtectEU pretende garantir que os direitos humanos são respeitados e mantidos e que a União Europeia mantém o seu reconhecimento de classe mundial como um mercado de TI onde a proteção de dados é garantida. Com a nossa carta aberta, estamos a salientar que:
-
Uma encriptação forte não é um obstáculo à segurança da UE, mas sim um pré-requisito para a mesma, posicionando a utilização generalizada da encriptação de ponta a ponta como uma ferramenta para fazer avançar a cibersegurança e a resiliência da UE no atual contexto geopolítico.
-
A encriptação é benéfica para a UE e para os seus cidadãos; é necessária para reforçar a ciberdefesa em consonância com as actuais estratégias de segurança da União Europeia.
Caros Henna Virkkunen, Vice-Presidente Executivo para a Soberania Tecnológica, Segurança e Democracia, e Magnus Brunner, Comissão para os Assuntos Internos e a Migração
As organizações da sociedade civil, empresas e especialistas em cibersegurança abaixo assinados, incluindo membros da Coligação Global para a Encriptação, partilham urgentemente as suas preocupações relativamente a aspectos da recentemente anunciada Estratégia Europeia de Segurança Interna (Protect EU) devido ao seu potencial impacto na encriptação de ponta a ponta.
No dia 1 de abril, a Comissão Europeia partilhou a sua nova estratégia de cinco anos, ProtectEU, para abordar as elevadas preocupações de segurança da União Europeia no meio de um cenário geopolítico em rápida evolução. Incluída na estratégia está a intenção da Comissão Europeia de desenvolver um “Roteiro Tecnológico sobre encriptação, para identificar e avaliar soluções tecnológicas que permitam às autoridades responsáveis pela aplicação da lei aceder a dados encriptados de forma legal”.
Embora reconheçamos a importância de elevar os esforços de segurança em momentos de maior instabilidade geopolítica, estamos preocupados com o enquadramento do roteiro tecnológico. As agências governamentais de outras partes do mundo incentivam ativamente uma maior utilização da encriptação de ponta a ponta, e não menos, para proteger a integridade do ciberespaço contra o aumento das ameaças à segurança. A cifragem forte, incluindo a cifragem de ponta a ponta, é uma ferramenta fundamental de cibersegurança que protege a União Europeia contra ciberataques, ameaças híbridas, espionagem e ataques a infra-estruturas críticas.
A própria Comissão Europeia reconheceu a necessidade de intensificar os esforços e o investimento para proteger a integridade do ciberespaço, como refletido na Diretiva revista relativa à segurança das redes e da informação (NIS2). A diretiva revista introduz a obrigação de as plataformas e os prestadores de serviços aplicarem medidas adequadas e proporcionadas de gestão dos riscos de cibersegurança, incluindo a cifragem, para proteger a confidencialidade, a integridade e a disponibilidade dos seus sistemas e serviços. A Autoridade Europeia para a Proteção de Dados faz eco desta mensagem, afirmando que “as restrições à cifragem representam riscos significativos para a economia e a sociedade em geral”.
No entanto, neste contexto, estamos profundamente preocupados com o facto de a Comissão continuar a concentrar-se na identificação de formas de enfraquecer ou contornar a encriptação. Isto compromete os seus próprios objectivos de segurança no âmbito da estratégia ProtectEU, que sublinha a importância da resiliência e da preparação face a ciberameaças mais sofisticadas. O enfraquecimento da encriptação enfraquece a própria base das comunicações e sistemas seguros, deixando os indivíduos, as empresas e as instituições públicas mais vulneráveis a ataques.
Os esforços passados e em curso na União Europeia para conceder às autoridades policiais acesso a dados encriptados centraram-se principalmente no scanning do lado do cliente, uma tecnologia que contorna a encriptação através do scanning dos dispositivos dos utilizadores antes do início do mecanismo de encriptação. O scanning não só viola as promessas da encriptação de ponta a ponta, como também cria vulnerabilidades que podem ser exploradas por criminosos e actores estatais hostis. Existe um consenso generalizado entre os peritos técnicos de que as ferramentas de contorno da cifragem criam novos riscos que ameaçam a segurança nacional, preocupações recentemente reiteradas pelas autoridades dos Estados-Membros na Suécia e nos Países Baixos. O Tribunal Europeu dos Direitos do Homem e a Agência dos Direitos Fundamentais da União Europeia sublinharam que os requisitos legais que “enfraquecem o mecanismo de encriptação para todos os utilizadores” seriam desproporcionados ao abrigo da Carta dos Direitos Fundamentais da UE.
O roteiro tecnológico anunciado pela Comissão Europeia reflecte os esforços envidados por outros governos para identificar ferramentas de contorno da cifragem, como o “Safety Tech Challenge” do Reino Unido, que se comprometeu a financiar ferramentas de prova de conceito para prevenir e detetar material de abuso sexual de crianças em ambientes cifrados de ponta a ponta. No caso dos esforços do Reino Unido, o revisor independente selecionado, REPHRAIN, considerou que nenhuma das provas de conceito resultantes satisfazia o seu quadro de avaliação em matéria de direitos humanos, segurança, responsabilidade e outros critérios. Acreditamos que qualquer abordagem semelhante da UE produziria os mesmos resultados, desperdiçando recursos valiosos.
Apelamos à Comissão Europeia para que
-
Reconhecer que uma encriptação forte não é um obstáculo à segurança da UE, mas sim um pré-requisito para a mesma, posicionando a utilização generalizada da encriptação de ponta a ponta como uma ferramenta para promover a cibersegurança e a resiliência da UE no atual contexto geopolítico.
-
Reformular o Roteiro Tecnológico da Cifragem, destacando os benefícios da cifragem e identificando áreas de maior utilização para reforçar a ciberdefesa, em consonância com as actuais estratégias de segurança da União Europeia.
-
Desenvolver o Roteiro Tecnológico recorrendo a um vasto leque de perspectivas, não só das autoridades responsáveis pela aplicação da lei, mas também dos peritos em cibersegurança, da sociedade civil, dos defensores dos direitos digitais e das empresas privadas. Qualquer roteiro futuro que pretenda ser credível e equilibrado deve ter em conta a viabilidade de quaisquer capacidades tecnológicas potenciais e o seu impacto social, técnico e jurídico.
Agradecemos que dirija a sua resposta a Callum Voge, Diretor de Assuntos Governamentais e Advocacia da Internet Society(voge@isoc.org), e a Silvia Lorenzo Perez, Diretora do Programa de Segurança, Vigilância e Direitos Humanos do Centre for Democracy & Technology - Europe(sperez@cdt.org).
Organizações signatárias
3 Steps Data
ACT | The App Association
Iniciativa para os Media e as Tecnologias da Informação em África (AfriMITI)
Iniciativa África Rural Internet e STEM (AFRISTEMI)
Alternatif Bilisim
AMS-IX
Big Brother Watch
Bits of Freedom
Blacknight
Associação Blockchain
Centro para o Estudo do Ódio Organizado (CSOH)
Centro para a Democracia e a Tecnologia da Europa
Centro Latino-Americano de Investigações sobre Internet
Clube de Computadores Chaos
Associação Comunitatea Internet
Cybersecurity Advisors Network (CyAN)
Danes je nov dan, Instituto para a proteção dos dados
Datenpunks
Digitale Gesellschaft
Digital Rights Ireland (Irlanda)
Sociedade Digital
Državljan D / Cidadão D
eco - Associação da Indústria da Internet
Electronic Frontier Finland - Effi ry
Electronic Frontier Foundation - Fundação Fronteira Eletrónica
Electronic Frontier Norway (Fronteira Eletrónica da Noruega)
Elemento
Emerald Onion (cebola esmeralda)
Epicenter.works
EuroISPA - Associação Europeia de Fornecedores de Serviços Internet
Direitos Digitais Europeus (EDRi)
FiCom ry
Fundação para a Liberdade de Imprensa
Parceiros Globais Digitais
Centro Hermes
Conselho de Arquitetura da Internet
Internet Austrália
Sociedade da Internet
Capítulo Brasil da Internet Society
Capítulo Catalão da Internet Society (ISOC-CAT)
Internet Society Mali Chapter
Sociedade da Internet Capítulo Nepal
Sociedade da Internet Capítulo Portugal
IT-Pol Dinamarca
Centro de Informação de Redes do Japão
JCA-NET
Centro de Informação de Redes do Japão
Tecnologia LGBT
Fundação Matrix.org
Mozilla
OpenMedia
Phoenix R&D GmbH
Politiscope
Conselho de Privacidade e Acesso do Canadá
PrivID, Inc
Proton
Fundação SABOA
SecureCrypt
SkypLabs
Statewatch
Laboratório SUPERRR
Surfshark
Tech for Good Asia
Tuta Mail
Vircos Tecnologia
Vrijschrift.org
Wikimedia Europa
Xnet. Instituto para a Digitalização Democrática
X-Lab
Peritos individuais em cibersegurança
Jon Callas, Universidade de Indiana
Sofia Celi, Brave
Claudia Diaz, KU Leuven
Donald E. Eastlake 3rd, Independente
Nicola Fabiano, Fabiano Law Firm
Stephen Farrell, Trinity College Dublin
Masayuki Hatta, Universidade de Surugadai
Mallory Knodel, Universidade de Nova Iorque
Sascha Meinrath, X-Lab
Peter Neumann, Moderador, ACM Risks Forum
Riana Pfefferkorn, Universidade de Stanford
Jonathan Rudenberg, Grace
Bruce Schneier,
Adam Shostack, Autor de Threat Modeling: Designing for Security
Eugene H. Spafford, Universidade de Purdue
Asli Telli, Universidade de Colónia
Peter Thomassen, deSEC
Kenn White
Matthew Wright, Instituto de Tecnologia de Rochester
Philip Zimmermann, Professor Associado Emérito de Cibersegurança, Universidade de Tecnologia de Delft
Carta aberta à UE em 5 de maio de 2025
Académicos, tecnólogos e outros peritos apelam a um papel fundamental no Roteiro Tecnológico da UE sobre encriptação
Exma. Sra. Henna Virkkunen, Vice-Presidente Executiva para a Soberania Tecnológica, Segurança e Democracia,
As partes interessadas abaixo assinadas são organizações da sociedade civil, cientistas, investigadores e outros peritos com experiência em direitos humanos e tecnologia. Em 1 de abril, a Comissão Europeia publicou a sua nova estratégia de segurança interna, ProtectEU, que define os seus planos para os próximos cinco anos com o objetivo de coordenar uma resposta europeia às ameaças à segurança. Proporcionar segurança, proteção e justiça a todas as pessoas e comunidades na Europa é uma parte importante da missão da UE. Exige uma abordagem holística e baseada em dados concretos por parte de todas as instituições, a fim de resolver os problemas societais na sua raiz e apresentar soluções estruturais adequadas.
Nesta perspetiva, preocupa-nos que o quadro previsto para o acesso aos dados pelas autoridades responsáveis pela aplicação da lei possa comprometer o exercício dos direitos fundamentais e a nossa cibersegurança colectiva. Em particular, a “preparação de um roteiro tecnológico sobre encriptação, para identificar e avaliar soluções tecnológicas que permitam às autoridades responsáveis pela aplicação da lei aceder a dados encriptados de forma legal” levanta várias questões.
Com base em tentativas passadas e recentes a nível da UE, sabemos que as “soluções tecnológicas” do tipo “bala de prata” não só são ineficazes, como têm consequências nefastas, incluindo para aqueles que mais necessitam de proteção. Existe um amplo consenso científico sobre a impossibilidade técnica de conceder às autoridades policiais um acesso excecional às comunicações cifradas de extremo a extremo sem criar vulnerabilidades que os agentes maliciosos e os governos repressivos possam explorar. Os peritos concluíram que mesmo as tecnologias mais recentes, como a verificação do lado do cliente, que são apresentadas como seguras e preservadoras da privacidade, são de facto invasivas da privacidade, permitem a vigilância em massa e aumentam os riscos de violações da segurança. A encriptação é um instrumento de importância vital para os direitos e liberdades das pessoas, bem como para o desenvolvimento de comunidades, da sociedade civil, das administrações públicas e da indústria dinâmicas e seguras. Perante um cenário de ameaças complexo e a crescente digitalização de todos os aspectos da nossa vida, a cifragem não é um luxo, mas uma condição sine qua non para podermos navegar em linha com segurança.
Em vez de investir mais recursos e tempo em sistemas que estão comprovadamente a causar danos, acreditamos firmemente que todas as partes interessadas devem trabalhar em conjunto para encontrar soluções a longo prazo (técnicas e não técnicas) para questões societais complexas, baseadas em provas científicas e que respeitem todos os direitos fundamentais.
Dado que a Comissão Europeia definiu a sua intenção de “salvaguardar a cibersegurança e os direitos fundamentais” durante a realização deste trabalho exploratório, gostaríamos de apoiar a Comissão no cumprimento deste objetivo, pelo que solicitamos o seguinte
- Uma reunião entre V. Exa. e os representantes dos signatários da presente carta para discutir mais aprofundadamente a nossa posição e os nossos contributos;
- Lugares na mesa do Roteiro Tecnológico para académicos, tecnólogos independentes, advogados especializados em tecnologia e direitos humanos e agentes da sociedade civil especializados nestas questões, para garantir a nossa participação significativa.
Acreditamos ainda que estaríamos bem posicionados para fornecer informações técnicas especializadas a V. Exa., ao seu gabinete e aos seus serviços, e teríamos todo o prazer em colocar-nos à disposição para esse efeito.
Atenciosamente, Organizações da sociedade civil especializadas em tecnologia e/ou direitos digitais:
-
Access Now (UE/Internacional)
-
ACT | Associação App
-
ANSOL - Associação Nacional para o Software Livre (Portugal)
-
Asociația pentru Tehnologie și Internet (ApTI) (Roménia)
-
Rede de ONG do Bangladesh para a Rádio e a Comunicação (BNNRC)
-
Big Brother Watch (Reino Unido)
-
Bits of Freedom (Países Baixos)
-
Chaos Computer Club (Alemanha)
-
Comité para a Proteção dos Jornalistas (CPJ) (Bélgica)
-
Sociedade de Computadores de Chipre (CCS)
-
D64 - Centro para o Progresso Digital (Alemanha)
-
Danes je nov dan, Inštitut za druga vprašanja (DJND) (Eslovénia)
-
Dataföreningen i Sverige (Suécia)
-
Dataföreningen Väst (Associação Sueca de Informática do Oeste)
-
Defend Democracy (Países Baixos/Bélgica)
-
Deutscher Anwaltverein (DAV) (Alemanha)
-
Digital Rights Ireland (Irlanda)
-
Digitale Gesellschaft e.V. (Alemanha)
-
Državljan D / Citizen D (Eslovénia)
-
Electronic Frontier Foundation (EFF)
-
Electronic Privacy Information Center (EPIC) (EUA)
-
Direitos Digitais Europeus (EDRi)
-
Homo Digitalis (Grécia)
-
Initiative für Netzfreiheit. (Netzfreiheit / IfNf) (Áustria)
-
Internet Society (EUA/Internacional)
-
ISOC India Hyderabad Chapter (Capítulo de Hyderabad da ISOC Índia)
-
ISOC India Hyderabad Chapter (ISOC Hyderabad)
-
IT-Pol (Dinamarca)
-
JCA-NET (Japão)
-
Panoptykon Foundation (Polónia)
-
Politiscope (Croácia)
-
Privacy First (Países Baixos)
-
Privacy International
-
Fundação SHARE (Sérvia)
-
Sociedade Eslovena INFORMATIKA (SSI)
-
Statewatch (Reino Unido)
-
Associação para as Tecnologias da Informação e das Comunicações da Roménia (ATIC)
-
Centro para a Democracia e a Tecnologia na Europa (CDT Europe)
-
Xnet, Instituto para a Digitalização Democrática (Espanha)
Signatários individuais especializados em tecnologia e/ou direitos digitais:
-
Assist. Giovanni Apruzzese, Universidade do Liechtenstein
-
Assist. Lili Nemec Zlatolas, Universidade de Maribor
-
Prof. Associado Dr. Carsten Baum, Universidade Técnica da Dinamarca
-
Aureli Gómez i Vidal, engenheira de serviços críticos de Internet
-
Professor Emérito Douwe Korff, Universidade Metropolitana de Londres
-
Dr. Dan Bogdanov, Academia de Ciências da Estónia
-
Dr. David Galadi-Enriquez, Universidade de Córdova
-
Dr. Eyal Ronen, Universidade de Tel Aviv
-
Dr. Jordi Cortit, Clarivate
-
Dr. Juanjo Llórente Albert, Universidade Popular de Valência
-
Dra. María Iglesias Caballero, Instituto Nacional de Saúde Carlos III
-
Dr. Stephen Farrell, Trinity College Dublin
-
Eng. Jorge Pinto, Tecnólogo Independente
-
Filippos Frantzolas Msc, Sociedade de Informática dos Profissionais Helénicos (HePIS)
-
Henrique Califórnia Mendes, engenheiro de segurança de aplicações
-
Matthias Pfau, cofundador da Tuta.com e especialista em criptografia
-
Anja Lehmann, Instituto Hasso-Plattner, Universidade de Potsdam
-
Aurélien Francillon, EURECOM
-
Bart Preneel, Universidade de Lovaina
-
Carmela Troncoso, MPI-SP e EPFL
-
Prof. Diego F. Aranha, Universidade de Aarhus
-
Prof. Dr. Daniel Loebenberger, Sprecher Fachbereich Sicherheit der Gesellschaft für Informatik e.V.
-
Dr. Jaap-Henk Hoepman, Universidade de Radboud / Universidade de Karlstad
-
Prof. Dr. René Mayrhofer, Universidade Johannes Kepler de Linz
-
Dr. Simone Fischer-Hübner, Universidade de Karlstad e Universidade de Tecnologia de Chalmers
-
Dr. Tanja Lange, Universidade de Tecnologia de Eindhoven
-
Ian Goldberg, Universidade de Waterloo
-
Keith Martin, Royal Holloway, Universidade de Londres
-
Prof. Kenneth G. Paterson, ETH Zurique
-
Kimmo Halunen, Universidade de Oulu
-
Levente Buttyán, Universidade de Tecnologia e Economia de Budapeste (Diretor do Laboratório de Criptografia e Segurança de Sistemas)
-
Manuel Barbosa, Universidade do Porto (FCUP)
-
Marko Hölbl, Universidade de Maribor
-
Martin Albrecht, King’s College London
-
Panos Papadimitratos, Instituto Real de Tecnologia KTH
-
Simona Levi, Diretora da Pós-graduação em Tecnopolítica e Direitos na Era Digital da Universitat de Barcelona
-
Srdjan Čapkun, ETH Zurique
-
Stefano Calzavara, Università Ca’ Foscari Venezia
-
Vaclav Matyas, Universidade de Masaryk
-
Vasile Balatac, Universidade Nacional de Estudos Políticos e Administração Pública - SNSPA
-
Simone Aonzo, PhD, EURECOM
-
Prof. Dr. Matteo Maffei, TU Wien
-
Yigit Aydinalp, Universidade de Sheffield