Todos queremos proteger as crianças, ninguém será contra isso. Mas quando o tentamos fazer ao aprovar uma solução que implica o uso de um mecanismo estatal, invasivo e acima de tudo contornável, colocamos a segurança de todos em causa por que criamos uma falsa sensação de segurança aos pais e empurramos os miúdos para plataformas não reguladas.
A ideia de obrigar as redes sociais, jogos e outras plataformas digitais a verificar a idade, parece sensata durante 5 segundos. Ao sexto, qualquer pessoa com experiência em segurança informática percebe o problema. É uma medida fácil de contornar, difícil de aplicar, perigosa para a privacidade e excelente para criar uma infraestrutura de controlo. O problema é bem real. No entanto, a solução é ingénua.
Admito que há problemas reais com as redes, há riscos para os menores, existem jogos com mecânicas aditivas desenhadas para prender a atenção e os pais são muitas vezes ultrapassados. Mas reconhecer que existe um problema, não implica à partida aceitar qualquer solução, especialmente as que soam bem nos títulos, mas correm mal no mundo real.
O Projeto de Lei aprovado na generalidade limita a idade digital aos 16 anos, sendo dos 13 aos 15 com consentimento parental. Abaixo dos 13 é proibido. A solução de verificar digitalmente? Chave Móvel Digital ou algo equivalente. Em bom português: o Estado quer que a Internet passe a pedir prova de idade, não apenas em sites pornográficos ou de apostas, mas redes sociais, jogos, aplicações de comunicação e lojas de aplicações. Isto não é um porteiro à porta da discoteca. É um porteiro à entrada da rua da nossa casa.
Para um especialista da área, isto é um teatro de segurança. O ser humano continua a ser o elo mais fraco da cadeia de segurança. O menor pode sempre pedir a conta do irmão emprestada, muitas vezes dos próprios pais ou amigos. Podem recorrer a VPNs gratuitas, que muitas vezes podem recolher informações dos utilizadores para as vender. Podem recorrer a contas já verificadas ou comprar as mesmas. Podem migrar para plataformas não reguladas, o que é ainda mais perigoso. Uma medida previsivelmente contornada não é segurança. É teatro. Se o modelo de ameaça assumido pelos autores da Lei são os adolescentes motivados pelo Youtube, tiktok, discord e afins, então esta Lei nasceu derrotada.
Um ponto ainda mais crítico na área de segurança é a falsa sensação de segurança. A Lei pode fazer criar a sensação de que o problema ficou resolvido, os políticos ficam contentes, os pais ficam mais relaxados que os seus filhos não podem aceder às redes. E é aqui precisamente que o risco real fica ainda mais amplificado: Relaxar a postura e controlo parental porque pensam que fica garantido por decreto. Não fica. O Estado ganha manchetes, mas a proteção não é real. A carta aberta assinada por muitos especialistas, que assinaria também, na área de segurança aponta para estes problemas descritos.
Um outro ponto de risco é a privacidade. Ao contrário na entrada de uma discoteca ou casino, onde mostrar o cartão de cidadão raramente deixa rastos, a Internet deixa sempre rastos. A prova de um atributo pessoal carece, fundamentalmente, de prova de identidade. É verdade esta prova é dada a um terceiro no qual este mesmo nos dá um segredo autenticado digitalmente à plataforma. No entanto temos um problema de correlação que expõe todos. O registo na plataforma cruzado com a autenticação da idade expõe a identidade. São mais dados pessoais, mais entidades envolvidas, mais superfícies de ataque, mais incentivos ao phishing para roubar dados pessoais e defraudar pais com menos literacia digital. São mais dados apetecíveis a cibercriminosos, mais dependência da identidade digital e mais normalização de identificação para usar serviços banais. A privacidade não morre de uma vez. Vai morrendo a cada formulário, a cada autenticação, a cada verificação e de exceção a exceção.
A Lei também prevê algo que é inédito e digno de um país onde o controlo é absoluto sobre o cidadão. Prevê que as plataformas analisem conteúdo das mensagens. A Lei já é má, agora abre-se o caminho para a vigilância massiva das comunicações privadas. Isto devia arrepiar qualquer político democrático. Se a mensagem é analisada antes de ser enviada ou rececionada estamos a falar de efetivamente uma inspeção de comunicação privada, mesmo que seja por mecanismos automáticos. Podem chamar de deteção automática, moderação preventiva ou proteção infantil. Tecnicamente, o nome é mesmo este: Vigilância. Colide frontalmente com a prioridade de uma sociedade ser livre, privada, segura.
Tudo isto, para no fim os miúdos serem empurrados para piores sítios e os expor ainda mais. Como vai o governo regular plataformas pequenas ou estrangeiras? Plataformas com menos proteção e moderação de conteúdo? Estas comunidades e plataformas com menos visibilidade são as que podem introduzir mais risco na sociedade e as mais perigosas. Estes controlos podem fazer diminuir a segurança online, expor as pessoas a software malicioso e a burlas, especialmente nos que têm menos literacia digital que procuram alternativas sem verificação. Esta Lei pode conseguir a proeza de retirar adolescentes do Instagram para os entregar a VPNs manhosas, aplicações de lojas não reguladas duvidosas, e fóruns sem moderação.
Por fim, a discriminação para quem não tem meios, literacia ou identidade digital. A população não pode ser forçada a aderir um mecanismo estatal de identificação digital. Nem tem de ter um telemóvel compatível, ou nem precisa de ter capacidade de lidar com este modelo de autenticação para serviços banais. Estes requisitos excluem idosos, não residentes, pessoas sem credenciais nacionais, ou os que efetivamente nem sabem usar.
Afinal, como devemos proteger as crianças? Não é fácil. O modelo de segurança começa logo à partida dos pais. São os pais que são os encarregados da educação dos filhos. Reforçar a literacia digital para adultos, implementar controlos parentais nas tecnologias dos filhos são ótimas ferramentas já existentes e usadas por pais de todo o mundo. Grande parte dos problemas ficam resolvidos aqui. Depois o combate direto ao cyberbullying e grooming. Os pais devem ter capacidade de acompanhar as contas dos filhos e reportar contactos suspeitos e ajudar as plataformas a identificar predadores atuar sobre estes. A moderação e facilitar o reporte e as denuncias podem facilitar bastante a identificar predadores e abusadores e excluí-los das plataformas. Não aconteceria em plataformas não reguladas para onde se podem estar a empurrar os nossos filhos.
A proteção das crianças online é demasiado importante para ser entregue a soluções tecnicamente frágeis, mas politicamente convenientes. A maioridade digital pode parecer bom senso, porém na prática arrisca-se a ser apenas mais uma camada de burocracia, de vigilância e falsa segurança. Com tantas más ideias em tecnologia, começa com uma promessa sempre bonita: Proteger os mais vulneráveis – uma causa nobre. No entanto, acaba com uma infraestrutura que torna todos menos livres, menos privados e não necessariamente mais seguros. Um Estado diz que quer proteger as crianças, mas obriga as plataformas a olhar para as mensagens de toda a gente. Isto não é proteger menores, é instalar um polícia à porta de cada conversa. Resumiria esta Lei numa frase: Não é política de segurança, mas sim uma declaração de impotência com autenticação forte.
