A silenciosa reformulação da privacidade online na UE e além

Por Hans Rempel, CEO da Diode.

Descubra as principais notícias e eventos do setor fintech!

Subscreva a newsletter do FinTech Weekly

Lido por executivos do JP Morgan, Coinbase, Blackrock, Klarna e mais

Em todo o mundo, os governos estão a convergir numa nova teoria de segurança online: para tornar a internet mais segura, a comunicação privada deve ser inspecionável.
O que está a mudar agora não é apenas a forma como a privacidade é violada, mas como ela é definida na lei e no código.

A proposta de Controle de Chat da UE é o exemplo mais visível, mas não é uma exceção. Os EUA, Reino Unido, Austrália e várias jurisdições asiáticas estão a avançar com variações da mesma ideia através de mandatos de verificação de idade, varredura no lado do cliente, responsabilidade ampliada das plataformas e quadros de deteção ‘voluntários’.

Apesar de diferentes sistemas políticos, estas propostas partilham a mesma suposição subjacente de que a comunicação privada deve ser tecnicamente acessível aos reguladores.

Cada proposta é apresentada como algo restrito e direcionado, mas juntas representam uma mudança estrutural de policiamento de conteúdos nocivos para monitorização preemptiva da comunicação, e de regulação das plataformas para regulação da infraestrutura da mensagem privada em si.

É uma reformulação global do que significa privacidade online.

Privacidade Reescrita

Durante anos, a erosão da privacidade foi atribuída a violações de dados, empresas mal comportadas ou agências de inteligência excessivamente invasivas. Hoje, as mudanças mais consequentes estão a acontecer dentro das próprias políticas. A privacidade não está a ser quebrada por acidente; está a ser redesenhada na arquitetura da internet.

A justificação é quase sempre a segurança. Mas o mecanismo é sempre a mesma tentativa de expandir o âmbito do que os governos e plataformas devem inspecionar.

E, uma vez que a infraestrutura de inspeção existe, raramente permanece limitada ao seu propósito original. A varredura direcionada expande-se rapidamente com a verificação de identidade, monitorização de comportamentos e retenção de dados, tornando-se requisitos básicos de “precaução”.

A comunicação privada já não é vista como um direito a proteger, mas como uma superfície de risco a gerir, criando assim uma internet onde a privacidade se torna condicional em vez de fundamental.

A Normalização da Vigilância ‘Voluntária’

Um dos desenvolvimentos mais subtis é o aumento de quadros de varredura ‘voluntários’. Estes são frequentemente apresentados como um compromisso onde as plataformas podem escanear mensagens privadas, mas não são obrigadas a fazê-lo.

No entanto, uma vez que a varredura seja legalizada, incentivada ou tecnicamente padronizada, a infraestrutura torna-se permanente. O debate já não se centra em se as mensagens privadas devem ser escaneadas, mas em quem tem acesso e em que circunstâncias.

A varredura voluntária certamente suaviza a vigilância, mas também a normaliza, mudando a janela de Overton de “deveriam as mensagens privadas ser escaneadas?” para “qual a quantidade de varredura adequada?”.

Os debates sobre varredura no lado do cliente mostram como a deteção ‘opcional’ rapidamente se torna uma expectativa básica.

Paraíso Não Foi Perdido. Foi Centralizado

Tim Berners-Lee lamentou que a web aberta e interoperável que imaginou tenha sido substituída por um sistema dominado por pontos de estrangulamento corporativos e incentivos à recolha de dados. Nesse desvio, sistemas centralizados convidam ao controlo centralizado.

Quando a comunicação privada passa por um punhado de pontos de estrangulamento, esses pontos tornam-se inevitavelmente alvos. As plataformas dominantes tornam-se pontos de alavancagem natural para políticas e vigilância.

GenAI Transformou a Segurança Centralizada numa Passivo

O crescimento da IA generativa acelerou esta tendência. Ataques de phishing, recolha de credenciais e campanhas de engenharia social tornaram-se automatizados, personalizados e dramaticamente mais eficazes. A resposta da indústria de segurança tem sido previsível… implementar mais defesas alimentadas por IA que requerem analisar mais dados das empresas.

Isto cria um paradoxo perigoso. Um fornecedor de segurança com acesso a dados sensíveis torna-se o honeypot definitivo. Se um atacante consegue invadir o fornecedor, obtém acesso não só às informações de uma empresa, mas aos dados agregados de todos os clientes. Alguns arquitetos de segurança defendem que, numa corrida armamentista de IA, a única jogada vencedora é eliminar completamente o alvo. Em vez de construir perímetros defensivos cada vez maiores em torno de bases de dados centralizadas, é necessária uma mudança para segurança granular de conhecimento zero — sistemas onde os fornecedores não podem aceder aos dados do utilizador, mesmo que queiram.

Nestas arquiteturas, os dados nunca tocam na infraestrutura do fornecedor. Não há servidores para comprometer, nem bases de dados para vazar. Tudo é roteado peer-to-peer com encriptação automática, eliminando o problema do honeypot.

A história mostra que, quando a regulamentação foca na infraestrutura em vez do comportamento, os utilizadores adaptam-se. Mudam para plataformas offshore, redes informais ou ferramentas desenhadas para evitar pontos de estrangulamento centralizados. Essas regulamentações não param o comportamento; apenas mudam quem assume o custo.

Uma Nova Resposta Arquitetural Está a Surgir

Em resposta à pressão regulatória e à exploração impulsionada por IA, os tecnólogos estão a repensar a arquitetura da comunicação. Em vez de encaminhar mensagens privadas através de servidores centralizados que podem ser obrigados, inspecionados ou invadidos, estão a construir sistemas onde os utilizadores possuem a sua identidade, dados e conexões.

Esta é a mudança arquitetural que Berners-Lee desejava — um retorno à web peer-to-peer onde o controlo é distribuído, não concentrado. Blockchains públicos como o Internet Computer (ICP) já suportam projetos que incorporam este modelo, combinando transparência com privacidade e restabelecendo direitos reais de propriedade digital. Vários projetos no ecossistema estão a explorar modelos de comunicação peer-to-peer onde identidade, dados e roteamento permanecem totalmente controlados pelo utilizador. Nestes sistemas, a privacidade torna-se uma propriedade da arquitetura. Não há servidores para confiar, intermediários para comprometer ou autoridades centrais para pressionar.

A Pergunta Real

O debate sobre segurança online é frequentemente enquadrado como uma troca entre privacidade e proteção. Mas a questão verdadeira é muito mais fundamental: queremos uma internet onde a privacidade seja condicional — concedida quando conveniente, retirada quando necessário — ou uma internet onde a privacidade seja a base sobre a qual a regulamentação deve trabalhar?

Porque, uma vez que a privacidade se torne condicional, deixa de ser um direito. Torna-se uma permissão. E permissões podem sempre ser revogadas.

Sobre o autor

Hans Rempel é CEO da Diode, uma empresa que constrói infraestrutura de comunicação peer-to-peer e segurança de conhecimento zero. Trabalha na interseção de privacidade, arquitetura descentralizada e protocolos de internet de próxima geração. A sua investigação e escrita focam em como a regulamentação e a tecnologia moldam o futuro da autonomia digital.