Irlanda propõe nova lei que permite à polícia usar spyware

A Irlanda está a considerar nova legislação para dar às suas agências responsáveis ​​pela aplicação da lei mais poderes de vigilância, incluindo permitir a utilização de spyware.

O governo irlandês anunciado esta semana a introdução do Projeto de Lei de Comunicações (Interceptação e Acesso Legal), que regularia o uso da chamada interceptação legal, o termo da indústria para tecnologia de vigilância, incluindo spyware fabricado por empresas como Intellexa, NSO Group e Paragon Solutions.

“Há uma necessidade urgente de um novo quadro jurídico para a intercepção legal que possa ser utilizado para enfrentar a criminalidade grave e as ameaças à segurança”, afirmou Jim O’Callaghan, Ministro da Justiça, Assuntos Internos e Migração da Irlanda.

“A nova legislação também incluirá salvaguardas jurídicas robustas para fornecer garantias contínuas de que o uso de tais poderes é necessário e proporcional”, disse O’Callaghan.

O principal motivador desta nova lei é que a lei irlandesa de 1993 que rege a utilização de ferramentas de interceção legais é anterior à maioria dos meios de comunicação modernos, como mensagens e chamadas feitas com aplicações encriptadas de ponta a ponta. Em geral, as comunicações criptografadas dessa forma só são acessíveis se as autoridades invadirem os dispositivos de um alvo, tanto remotamente usando spyware de nível governamental, quanto localmente usando tecnologia forense como dispositivos Cellebrite.

O anúncio menciona especificamente que a nova lei abrangerá “todas as formas de comunicação, encriptadas ou não”, e poderá ser utilizada para obter tanto o conteúdo das comunicações como os metadados relacionados.

O governo irlandês também prometeu que estes poderes de vigilância virão com “as necessárias salvaguardas de privacidade, encriptação e segurança digital”, incluindo autorização judicial e um requisito para serem usados ​​“em casos específicos e apenas quando as circunstâncias passarem por um teste de serem necessárias e proporcionais para lidar com questões relacionadas com crimes graves ou ameaças à segurança do Estado”.

O anúncio não continha detalhes sobre como esses novos poderes funcionarão na prática, visto que a lei ainda precisa ser redigida. Mas há uma secção específica que menciona a necessidade de “uma nova base jurídica para a utilização de software de vigilância secreta como meio alternativo de intercepção legal para obter acesso a dispositivos electrónicos” – uma referência clara a spyware informático e móvel – para investigar crimes graves.

O estado do spyware na Europa

A tentativa da Irlanda de permitir que as autoridades policiais utilizem spyware ocorre num momento em que o spyware governamental continua a proliferar, inclusive em toda a Europa, apesar dos abusos recentes que evidenciaram a forma como o spyware tem sido utilizado para violar os direitos humanos.

Embora há uma década a maioria dos escândalos de spyware se limitassem em grande parte aos países do Médio Oriente e da América do Sul, onde os padrões de direitos humanos variam enormemente, registaram-se vários casos de abuso de spyware na Europa nos últimos anos, incluindo em Grécia, HungriaItália e Polônia.

No entanto, o spyware tem sido utilizado na Europa há mais de duas décadas.

Em 2004, naquela que pode ser a primeira venda documentada de spyware governamental, a unidade italiana de cibercriminalidade Polizia Postale assinou o seu primeiro contrato com a Hacking Team, na altura uma pequena startup de cibersegurança em Milão, cujo nome viria a tornar-se sinónimo de uma violação de dados que resultou no encerramento da empresa.

Mais tarde, em 2007, Jörg Zierckethe, chefe da polícia criminal federal alemã, o Bundeskriminalamt (ou BKA), disse a uma revista local que sua agência estava usando spyware de computador. Então, em 2008, o WikiLeaks revelado a existência da DigiTask, empresa que vendia spyware às autoridades alemãs para captura de chamadas do Skype.

Em 2011, hackers do German Chaos Computer Club encontrou uma amostra de spyware no computador de um empresário que passava pela alfândega do aeroporto de Munique, que atribuíram à polícia alemã. Os hackers chamaram o malware de Bundestrojaner, que significa “trojan federal” em alemão.

Na época, eram histórias que recebiam pouca atenção do público. Alguns anos mais tarde, quando os investigadores de segurança começaram a documentar o abuso de spyware de fabrico europeu em países como o Egipto, a Etiópia, o México, Marrocos, os Emirados Árabes Unidos e vários outros, o spyware tornou-se popular e é agora uma tecnologia relativamente normalizada.

Embora alguns países como a Itália tenham legislação que regulamenta o uso de spyware, a União Europeia desde então tentou estabelecer padrões comuns para a utilização deste tipo de tecnologia em resposta aos escândalos no continente.