A Apple anunciou no início de agosto que vai passar a analisar as fotografias que os utilizadores guardam nos iPhones e no serviço de armazenamento na nuvem iCloud. Objetivo? Encontrar potenciais imagens de abuso sexual de crianças. A medida tem criado alguma polémica, mas a empresa continua a garantir que a proteção de dados dos utilizadores continua garantida. Sobre como é que esta medida pode afetar utilizadores portugueses, a Apple não responde. Ao Observador, a APCD (Associação Portuguesa de Crianças Desaparecidas e Vulneráveis) relativiza o problema em prol de um bem maior: “A sociedade adora complicar, debater tudo e, muitas vezes, defender o indefensável”.

Apple vai usar tecnologia para procurar imagens de abuso sexual nos iPhones

“Quanto aos receios jurídicos, não temos sinceramente nenhuns, porque estes sistemas são preparados tecnologicamente para prevenirem ao máximo violações da privacidade de dados dos usuários, principalmente das crianças que não prestaram, obviamente, o seu consentimento”, defende Patrícia Cipriano, advogada e presidente da APCD. De acordo com a jurista, a questão da proteção de dados é uma não-questão: “Se protegemos adultos, porque é que proteger crianças contra o mais abominável dos crimes, que é abusar sexualmente delas, marcando-as para toda a vida, é assim tão discutível?“, diz a jurista.

Ao Observador, a Apple não respondeu a nenhuma das questões colocadas sobre potenciais problemas de privacidade, inclusive sobre se avisará ou não os utilizadores portugueses caso alerte as autoridades sobre conteúdos encontrados no seu sistema. Porém, na sequência da polémica, a empresa criou um explicador no qual tenta menorizar os receios que este mecanismo levantou e afirma que “a privacidade dos usuários não é posta em causa”. Sobre o que vai fazer em Portugal? Não há informação.

Patrícia Cipriano cita um documento da Polícia Judiciária no qual é referido que esta medida é necessária porque “há falta de meios para perícias, especialmente nos casos de crime organizado”, o que “põe também em causa o sucesso destas investigações, assentes em quantidades muito elevadas de documentação digital”. Por outras palavras, no final do dia e, mesmo sendo alvo de críticas, a medida poderá ser bem acolhida pelas autoridades. Dependerá da aplicação.

A Apple promete que o sistema é infalível: “A probabilidade de identificar incorretamente qualquer conta é inferior a um em um bilião por ano”

Uma das principais preocupações quanto ao sistema da Apple é a possibilidade de o mesmo ser utilizado por governos para, por exemplo, vigiar pessoas, o que a empresa nega que vá acontecer. Além disso, no dia em que foi revelado, vários órgãos de comunicação social mostraram que, por exemplo, pode acionar-se um alerta para as autoridades a qualquer pessoa apenas enviando uma destas imagens. Mesmo exposta a estes casos, a empresa tem dito perentoriamente que não há motivo para preocupações.

“Não, o sistema é projetado para ser muito preciso, e a probabilidade de o sistema identificar incorretamente qualquer conta é inferior a um em um bilião por ano”, afirma a empresa. Além disso, a Apple afirma que “sempre que uma conta é identificada pelo sistema, a Apple conduz uma análise humana antes de enviar um relatório ao NCMEC [siglas para o centro nacional dos EUA para crianças desaparecidas ou vulneráveis]”.

A Apple justifica esta afirmação através da forma como o sistema de filtragem funciona. Na prática, a empresa não vai filtrar todas as imagens do iCloud ou do serviço de mensagens iMessage, onde também aplicará o mecanismo. Este instrumento, que a Apple designou como neuralMatch, vai “detetar imagens conhecidas de abuso sexual de crianças, sem desencriptar as mensagens das pessoas”.

Por outras palavras, o algoritmo vai apenas detetar se o utilizador está a utilizar os serviços da Apple para alojar ou enviar imagens que as autoridades já sabem ser ilícitas. A empresa chama-lhes “imagens CSAM” (sigla em inglês para “material de abuso sexual infantil”) e, sabendo que existem, já deve alertar as autoridades atualmente.

Teoricamente, esta técnica não levanta problemas e pode evitar que potenciais criminosos exponham indevidamente crianças. Não obstante, como explica Jonathan Mayer, professor de engenharia informática na universidade de Princeton, num texto de opinião no Washigton Post, esta tecnologia tem “perigos”.

“Construímos um sistema como o da Apple para sinalizar material de abuso sexual infantil – e concluímos que a tecnologia era perigosa”, escreve o académico. Porquê? “O nosso sistema poderia ser facilmente reaproveitado para vigilância e censura”, assume Mayer.  Quanto a isto, a Apple apenas diz que “recusa” interferência governamental quanto à privacidade dos utilizadores.

Do outro lado deste argumento, está a responsabilidade que uma empresa como a Apple terá. Como detalhou em julho de 2020 o documento sobre a “Estratégia da UE para uma luta mais eficaz contra o abuso sexual das crianças”, a legislação norte-americana já “exige que as empresas da internet sediadas nos EUA denunciem ao NCMEC quaisquer casos de abuso sexual de crianças que detetem nas suas redes”. “Uma vez que as maiores empresas da internet estão sediadas nos EUA [como é o caso da Apple], o NCMEC centraliza, na prática, as denúncias de abusos sexuais de crianças a nível mundial”, explica o mesmo relatório.

E em Portugal? “A privacidade dos usuários não é posta em causa”, alega a APCD

Quanto à aplicação desta medida nos EUA, a Apple estará salvaguardada. Até porque, como refere extensivamente a empresa nos vários documentos sobre esta nova medida, está a coordenar a aplicação com o  NCMEC. Como explica a tecnológica, esta entidade “trabalha em colaboração com agências de aplicação da lei nos Estados Unidos”. Contudo, no caso europeu, a aplicação poderá ser diferente. Mesmo assim, Patrícia Cipriano afirma sem rodeios: “Na nossa ótica [APCD], a privacidade dos usuários não é posta em causa”.

Como explica o relatório europeu, a propagação de pornografia infantil é cada vez maior na União Europeia. “Os dados indicam que a UE se tornou a maior base de material com imagens de abusos sexuais de crianças a nível mundial (com mais de metade destes materiais em 2016 e mais de dois terços em 2019”, como refere a Internet Watch Foundation nos relatórios anuais de 2016 a 2019.

Quanto ao caso português, Pedro Lomba, advogado e sócio na PLMJ, sendo o coordenador da área de Tecnologia, Mobilidade e Comunicações, adianta que “este tipo de medidas enfrenta sempre mais obstáculos na União Europeia, por força não só do conhecido Regulamento Geral sobre a Proteção de Dados, mas também de uma Diretiva europeia de 2002, conhecida como “Diretiva ePrivacy”, que estabelece elevados padrões no que respeita ao princípio da confidencialidade”. Porém, “o legislador europeu tem criado, ao longos dos tempos, exceções a este princípio da confidencialidade”.

Como explica o jurista, uma destas exceções “foi aprovada pela Diretiva 2006/24/CE e consistia na obrigação dos operadores de telecomunicações reterem indiscriminadamente dados de tráfego e de localização dos clientes para efeitos de criminalidade grave”. Porém, “acabou invalidada pelo Tribunal de Justiça da UE, em 2014”, adianta. Mesmo assim, “com a entrada em vigor do Código Europeu das Comunicações Eletrónicas, em dezembro passado, os serviços de mensagens das principais redes sociais ficaram submetidos à obrigação de confidencialidade da “Diretiva ePrivacy”.

Isto “levou a uma discussão pública entre plataformas, ativistas e legislador europeu sobre a impossibilidade dessas plataformas ‘policiarem’ casos de pornografia infantil por estarem, legalmente, impedidas de aceder às comunicações”, explica o advogado. Exatamente por isso, “no mês passado, foi publicado o Regulamento europeu 2021/1232, que estabelece uma derrogação temporária à referida Diretiva ePrivacy, habilitando esses operadores de serviços de mensagens a continuar a utilizar tecnologias de deteção de pornografia infantil”.

Agora, “dependendo da forma de implementação da medida e das aplicações que afete, pode ou não cair na derrogação da Diretiva”. Por outras palavras: não há ainda uma resposta exata quanto ao que a Apple poderá ou não fazer.

“Adultos que se filmam a abusar de crianças ou que enviam mensagens a aliciá-las, são criminosos (…) não podem dizer que viram a sua privacidade violada”

Patrícia Cipriano é mais direta quanto a eventuais dúvidas que a medida possa causar. “O documento autoriza agora os fornecedores de serviços eletrónicos a monitorizarem mensagens trocadas nas suas plataformas para recolher e reportar às autoridades evidências de abuso sexual de menores e mesmo tentativas de predadores para se aproximarem de crianças”, refere. A presidente da APCD também relembra que “uma mudança de 2021, colocou as mensagens eletrónicas sob a alçada da Diretiva de 2002 e deixou-as de fora do RGPD”, defendendo esta medida da Apple.

“Adultos que se filmam a abusar de crianças ou que enviam mensagens a aliciá-las, são criminosos”, alega. Além disso, a jurista afirma que estes potenciais prevaricadores “não podem dizer que viram a sua privacidade violada”. “Concordam com a política de privacidade que contém todos os alertas, certo? – Pois bem. Se abusarem ou “prepararem a criança” para o abuso sexual através de mensagens, estão a fazê-lo com a consciência que o sistema vai detetar essa conduta”, defende, reforçando: “Não temos que decidir entre privacidade e segurança! Podemos e devemos encontrar o equilíbrio”.

Polícias analisam 32 milhões de imagens de pornografia infantil. PJ descobre foto tirada em Portugal

Quanto a eventuais receios jurídicos, Patrícia Cipriano relembra que outras empresas têm já aplicado este tipo de proteção. As empresas tecnológicas, como Microsoft, Google e Facebook, têm partilhado ao longo de anos “listas negras” de imagens conhecidas de abuso sexual de crianças.

A tecnologia da Apple foi desenvolvida com o apoio de vários criptógrafos, como é o caso de Dan Boneh, professor na Universidade de Stanford, cujo trabalho neste campo lhe valeu um Turing Award, considerado o Prémio Nobel da informática.

I think some people aren't grasping that the time between the iOS NeuralHash code being found and 1st collision was not months or days, but a *couple of hours* (and part of that was just bootstrapping the environment, model weights etc). Adversarial visual ML is an entire field.

— Kenn White (@kennwhite) August 18, 2021

Até este mecanismo ser lançado, não se sabe que potenciais riscos pode causar. Recentemente, parte do código foi revelado e um investigador na Intel Labs, Cory Cornelius, revelou que o programa pode ser utilizado para criar falsos positivos. Numa publicação no Twitter, Kenneth White um especialista em criptografia e fundador do Open Crypto Audit Project, referiu: “Acho que algumas pessoas não estão a perceber que o tempo entre o código NeuralHash do iOS ser encontrado e [a] primeira colisão [falso positivo] não foi de meses ou dias, mas sim algumas horas”.