Em 26 de janeiro estive no Parlamento Europeu em reuniões com representantes da comissão de petições, Mariana Santos e David Gil (assistente do eurodeputado Pedro Marques), e, no dia seguinte, com o eurodeputado Carlos Zorrinho (da Comissão da Indústria, da Investigação e da Energia). Abordei temas como a regulação das criptomoedas e várias propostas para travar a indústria do ransomware. Com o eurodeputado abordei também dos conceitos de democracia participativa aplicados aos Parlamento Europeu (PE) e do voto electrónico onde – nos últimos anos – tenho desenvolvido bastante actividade.

No geral, defendi o voto electrónico no PE e em Portugal, mas começando nas associações, clubes, ordens profissionais e outras instituições da sociedade civil e, depois de amplos testes e eventuais correcções, e de a prática estar disseminada e tornada comum na sociedade civil. Sendo que acredito, conjuntamente com um grupo de amigos, que se poderia passar para eleições nacionais sendo que o piloto deveria poder ser realizado em eleições para o Parlamento Europeu.

A petição que em 2022 levei ao PE e que agora foi debatida foi referenciada em https://news.cision.com/pt/ e a sua gravação encontra-se em https://multimedia.europarl, sendo que a análise da petição ocupa o último ponto da ordem do dia da manhã onde o Comissário respondeu a algumas das questões e observações colocadas pela petição.

Na reunião com os representantes das duas comissões tive ocasião de referir o fundamental do texto:

«Daquilo que sei das iniciativas do Parlamento e do Conselho Europeu quanto à  regulação das Criptomoeda,s estas instituições são sabedoras da matéria e os cidadãos da Europa estão em boas mãos. Talvez tenham começado com algum atraso, mas agora parecem estar a recuperar algum do tempo perdido desde 2013 (a primeira vez que a UE trabalhou este tema).

O que pretendo aqui trazer é uma perspectiva diferente: a de um técnico de IT, de um cidadão europeu anónimo, com responsabilidades na defesa da sua organização contra a indústria do ransomware e a sua integração umbilical com as criptomoedas.

Em suma e por pontos:

1. Não existiria uma crescente “indústria de ransomware” sem criptomoedas. Cidadãos, empresas e Estados não teriam perdido muitos milhões de euros e de horas de trabalho sem a anonimidade que as criptomoedas garantem (se forem “bem” usadas).
2. A anonimidade quase total destas transacções serve os interesses dos grandes grupos criminosos e dos serviços de informações de potências inimigas. Mas mesmo que seja possível identificar o IP de origem: como seria possível que países como a Rússia ou a China entregassem os criminosos ou os agentes dos seus serviços de informações a uma qualquer investigação realizada fora do seu território? Este problema nunca será resolvido (por muita legislação que se crie). Mas é possível proibir – no espaço europeu – o pagamento de resgates: isso seria, talvez, decisivo como forma de afastar do nosso território estes bandos criminosos.
3. Apesar de correcções recentes, os níveis de valorização das criptomoedas continuam  excessivos e representam um risco para a economia real. O colapso desta bolha não pode deixar de ter consequências sobre todos nós e a queda recente de algumas bolsas demonstra a fragilidade e a má governação desta indústria. Neste sentido, aguardamos com expectativa a materialização do MiCA em 2024 (?) e esperamos que seja rapidamente adoptado por todos os países da União, e que a adopção de programas de bug hunting e de um rigoroso padrão de cibersegurança seja obrigatório.
4. Os representantes das maiores empresas europeias de seguros já avisaram: em breve não serão capazes de cobrir os riscos de ataques por ransomware (e, recordemo-nos, sem criptomoedas não pode haver ransomware). Este alerta é um efeito do crescimento deste fenómeno, o que vai, necessariamente, adicionar mais um risco sistémico a toda a economia, porque uma parte central da estratégia de resposta e prevenção de muitas empresas assenta, precisamente, neste tipo de seguros e nos requisitos que estes exigem às organizações que os adoptam. A este respeito, há que avaliar a obrigatoriedade deste tipo de seguros nas organizações que tenham determinada escala e facturação. Algo a reflectir.

Em conclusão, está bem a União Europeia ao decidir agir nesta direcção. Ao fazê-lo não está “apenas” a proteger os seus cidadãos, as suas organizações públicas e empresas: será também o clima e o planeta que sairão mais protegidos. Se o fizer não será a primeira entidade internacional a agir neste campo, uma vez que vários países já lançaram regulações (de severidade variável), mas será certamente seguida por muitos países do mundo e será a primeira vez que tal regulação se aplica a um tão grande número de países ao mesmo tempo. Aqui, como no RGPD, a Europa será o farol do mundo.

Sei bem que a União Europeia não gostaria de agir no sentido de proibir todas as transacções ou a posse de criptomoedas porque simplesmente não acredita que é possível impedir a inovação por decreto – e concordo com esse conceito. Mas é possível lançar a MiCA o mais rapidamente que for possível, desenvolver esta regulação – talvez seguindo as sugestões que aqui apresentei – e ter sempre em vista a ligação umbilical que existe entre ransomware e criptomoedas: para mim o ponto mais importante desta intervenção.»

Acredito que a União Europeia está bem encaminhada com o MiCA: a reacção positiva (apesar de algumas dúvidas) das entidades e dos grandes investidores em crypto-assets para com o regulamento indica que aguardam a segurança e previsibilidade que o MiCA trará a esta indústria (que já foi chamada de “Far West das Criptomoedas). Do que vi (o regulamento é extenso e a tradução é de má qualidade: mas dizem-me que isso está a ser trabalhado), não há dúvidas de que a força do bloco europeu (28 países) e o facto de ser aqui que se transaccionam 25% de todas as cripto do mundo fará a diferença e servirá para que a UE sirva de exemplo a outros (os EUA, em particular, precisam de reformar a sua débil e confusa regulação em crypto-assets). Nestas reuniões, confirmei que o MiCA entrará em vigor em 2024 e que, como o processo começou no Conselho Europeu, não terá que ser aprovado nos parlamentos europeus. Não consegui saber quem foi foi dos 28 países quem votou contra o MiCA mas suspeito que foi a Hungria.

Depois destas reuniões enviei ao Ministro da Transição Digital do Governo português propostas que permitiram desenvolver os artigos previstos no regulamento europeu MiCA:

• Proibir em Portugal o pagamento de resgates: isso seria talvez decisivo como forma de afastar do nosso território estes bandos de criminosos.
• Exigir que as entidades que operam em Portugal (e já temos uma cryptoexchange em Portugal, o Bison Bank) tenham programas de bug hunting e um rigoroso (e auditado do exterior) padrão de cibersegurança.
• A mineração de criptomoedas é um seríssimo problema ambiental e de consumo de energia: Todas as organizações que se dedicarem a esta actividade em Portugal devem compensar as suas externalidades através de uma taxa de carbono especialmente reforçada.
• Todas estas entidades que operem em Portugal devem ter seguros contra perdas por ransomware: não somente porque estes seguros obrigam ao cumprimento de um exigente conjunto de requisitos de cibersegurança mas porque formam uma rede de protecção contra ataques bem sucedidos a estas organizações e aos crypto-assets de clientes que conservam sob o seu controlo.