Ultimamente, a adoção da criptografia tornou-se um grande atrativo para o usuário comum, cada vez mais preocupado com sua privacidade e a segurança de suas informações e atividades online. Tanto para proteger seus dados em trânsito, geralmente relativos a comunicações privadas, como seus dados estáticos, armazenados em dispositivos eletrônicos.
Esta preocupação justifica-se de um lado pelo constante desenvolvimento e aprimoramento de formas de ataques a serviços de uso cotidiano, e de outro lado pelo receio do próprio poder de vigilância de governos sobre seus cidadãos, evidenciado após as informações e documentos divulgados por Edward Snowden em 2013, ex-funcionário da National Security Agency estadunidense, que exibiram para o mundo a capacidade tecnológica de vigilância do Governo Americano.
Com este cenário em mente, diversos provedores de aplicação passaram a adotar em seus serviços a criptografia by default. Neste sentido, torna-se padrão a adoção da criptografia no oferecimento do serviço. Exemplos desta mudança no âmbito da segurança da informação são os serviços de email, como o Gmail, aplicativos de comunicação instantânea, como o Whatsapp e sistemas operacionais, como o iOS, que adotaram a criptografia by default para proteger dados e comunicações de seus usuários.
Uma vez que a criptografia é adotada como padrão, inviabiliza-se o acesso do conteúdo dos dados pelo provedor de aplicação. Isto fornece maior segurança e garantia da privacidade ao usuário, mas ao mesmo tempo é um problema para investigações policiais. Se, em uma lógica não criptografada, as autoridades facilmente teriam acesso a determinados conteúdos de conversas entre criminosos (mediante uma simples ordem judicial), agora há uma verdadeira impossibilidade técnica para tal.
Isto suscitou um debate em escala global sobre a necessidade de se regular a criptografia, impondo certas restrições ao seu uso e obrigando provedores de serviço a fornecerem meios alternativos – como backdoors – para que autoridades possam ter acesso aos dados criptografados. Um desafio que se mostra relevante para comunidade técnica, pois a inserção de backdoors na estrutura de uma aplicação pode gerar fragilidades de segurança da informação. Quando uma autoridade tem uma porta de entrada em uma aplicação, a mesma porta poderá ser usada por um invasor não autorizado.
Nesse sentido, mencionar o recente debate nos Estados Unidos protagonizado pelas manifestações do diretor do FBI James Comey em favor de uma regulação mais restritiva da criptografia. Explica-se esta posição após o fracasso do FBI em acessar dados criptografados de dois iPhones dos terroristas responsáveis pelo atentado em San Bernardino, Califórnia, em 2015.
Por outro lado, técnicos, acadêmicos e representantes da sociedade civil manifestaram-se contra este tipo de imposição, apontando que as restrições à criptografia poderiam comprometer a segurança e privacidade de usuários, a inovação tecnológica e até mesmo a segurança nacional, tornando todos os serviços que oferecem a criptografia vulneráveis.
No Brasil, o debate ainda é bastante incipiente, mas algumas movimentações colocam-no sob os holofotes da regulação da tecnologia. Aqui, o debate surge após os sucessivos bloqueios do Whatsapp em território nacional devido ao descumprimento de ordem judicial pela empresa para fornecimento de dados.
No último dos quatro bloqueios, o Whatsapp alegou impossibilidade técnica do fornecimento das informações, e a Juíza Daniela Souza requereu “a desabilitação da chave de criptografia, com a interceptação do fluxo de dados, com o desvio em tempo real em uma das formas sugeridas pelo MP“, indo além da mera sugestão feita pelo FBI no contexto americano.
A ordem judicial é curiosa, ainda mais se levarmos em conta o sistema normativo brasileiro, aparentemente amigável à utilização de criptografia para proteção de dados e informações pessoais: o Decreto 8.771/16 prevê em seu artigo 13 que:
“Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:(…) IV – o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes”
No mais, a decisão foi posteriormente revertida pelo Ministro Ricardo Lewandowski, mas uma audiência pública foi marcada pelo Supremo Tribunal Federal especificamente para tratar da a viabilidade técnica e jurídica deste tipo de regulação da criptografia e compreender melhor seus possíveis efeitos posteriores. Enquanto isto, é bom seguir acompanhando de perto este debate, uma vez que o efeito pode vir a ser negativo para todos os envolvidos.
*Alexandre é Professor e coordenador do Grupo de Ensino e Pesquisa em Inovação (GEPI) da FGV Direito SP
**Artigo escrito em colaboração com Carlos Augusto Liguori Filho – Pesquisador Pleno do Grupo de Ensino e Pesquisa em Inovação (GEPI) da FGV Direito SP
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo