Paulo Abreu dos Santos foi detido por crimes de pornografia infantil e abusos sexuais de menores - o processo começou nos EUA, chegou entretanto a Portugal. Parte dos crimes sexuais foi cometida a partir de um computador no próprio gabinete do Ministério da Justiça. Mesmo que "os criminosos atuem" em "redes de anonimato", como a "deep web ou uma VPN anónima", "há sempre falhas que permitem identificar a localização da pessoa"
“Hoje em dia, plataformas como o Facebook, como o Instagram - enfim, tudo o que pertence ao universo de Mark Zuckerberg [da Meta] - têm motores de inteligência artificial que permitem detetar o tipo de conteúdos em conversas, sem perceber ao certo o que está a ser dito”, começa por explicar à CNN Portugal Nuno Mateus-Coelho, especialista em cibersegurança.
No caso de Paulo Abreu dos Santos, que foi adjunto da ex-ministra da Justiça Catarina Sarmento e Castro, os alarmes soaram nas plataformas Signal ou Telegram. Estas plataformas têm uma espécie de “sensores” que “estão atentos” a determinadas “palavras e comportamentos-chave” suspeitos, explica Nuno Mateus-Coelho. O conteúdo segue depois para moderadores humanos, que filtram o material e alertam as autoridades, caso esteja em causa crimes, como pornografia infantil.
A denúncia parte, por isso, das próprias tecnológicas, que “têm obrigação” de o fazer caso se deparem com casos destes - “sendo que o não cumprimento destas obrigações implica para elas coimas elevadíssimas”, nota o advogado Miguel Matias, em declarações à CNN Portugal.
No caso, a denúncia chegou ao National Center for Missing and Exploited Children (NCMEC), uma organização privada sem fins lucrativos, que trabalha na proteção de crianças em todo o mundo.
Como é que a denúncia chegou a Portugal?
Mesmo que os criminosos atuem em “redes de anonimato”, como a deep web ou uma “VPN anónima”, “há sempre falhas que permitem identificar a localização da pessoa”, afirma Nuno Mateus-Coelho. Desde logo através do IP, que é uma espécie de endereço dos dispositivos online e que permite identificar que determinada ligação está a ser feita através de Portugal, por exemplo.
“Quanto mais não seja, consegue chegar-se ao macro IP português”, observa o especialista em cibersegurança. A partir daí, acrescenta, as autoridades pedem às operadoras nacionais a identificação do titular que estava a usar aquele IP naquele minuto exato.
Nos casos de “IP flutuantes”, que podem ser atribuídos a vários dispositivos numa rede, “as autoridades solicitam uma análise ao Google, por exemplo, para perceber se aquele IP, por acaso, também foi usado para entrar em alguma conta de Gmail” e, assim, “perceber a quem é que pertence aquela conta de Gmail”, prossegue Nuno Mateus-Coelho.
É certo que há formas de alterar o IP de um dado dispositivo, nomeadamente através do uso de uma “VPN anónima”, que permite mudar a localização de um telemóvel ou de um computador. Mesmo assim, segundo o especialista em cibersegurança, “há falhas” comuns que permitem identificar a localização real.
“Muitas pessoas ligam estas VPN e acham que estão escondidas. Mas, a seguir, entram no Gmail ou usam ao mesmo tempo o telemóvel, que está automaticamente sempre a tentar entrar nos servidores da Meta, por exemplo”, explica Nuno Mateus-Coelho.
No caso do Gmail, como em muitas outras plataformas online, o acesso às contas exige uma autenticação multifatorial, ou seja, um procedimento de verificação que exige, em conjunto uma palavra-passe e um código SMS (por exemplo) para identificar o utilizador. “Não há forma de fugir a isto”, sublinha Nuno Mateus-Coelho.
Uma vez identificado o IP, as autoridades nacionais recebem o alerta. Nesta fase, sublinha Miguel Matias, “a polícia tem de agir rapidamente, até porque pode haver o risco de dissipação ou destruição dessa prova”, nota o advogado Miguel Matias.
Para a validação da denúncia, a polícia - no caso, a Polícia Judiciária (PJ) - faz a “recolha de elementos e de dados” sobre a pessoa identificada. “Havendo suspeita da existência de crime, (...) a PJ pode solicitar a um juiz de instrução criminal que autorize uma busca domiciliária à casa do suspeito”, explica o advogado.
Foi o que aconteceu no caso de Paulo Abreu dos Santos, com uma agravante: é que a denúncia vinda dos EUA alertava para a partilha de conteúdo de pornografia infantil, mas, após a busca domiciliária, os inspetores da PJ descobriram que, além disso, o advogado produzia conteúdos de abuso de menores.
Parte dos crimes sexuais, de acesso e partilha de conteúdos, foi cometida por Paulo Abreu dos Santos a partir do computador no próprio gabinete do Ministério da Justiça, onde o advogado desempenhou funções entre 2023 e 2024 como adjunto da ex-ministra Catarina Sarmento e Castro.
Tratando-se de um crime que aconteceu nas “redes que pertencem ao Estado”, Nuno Mateus-Coelho assume que os sistemas de segurança “podiam ter detetado” este tipo de conteúdo. “Os sistemas informáticos hoje em dia conseguem perceber o conteúdo adulto, o conteúdo violento, entre outros, e têm de dar o alerta.”
“Há palavras-chave que vão dar um alerta à Direção de Sistemas de que a infraestrutura da organização está a ser usada para cometer um crime. Isso já existe há muitos anos”, observa o especialista em cibersegurança.
Daí que Nuno Mateus-Coelho entenda que os sistemas de segurança do Estado “falharam” neste caso. “Tem de haver mecanismos - se não têm, que os coloquem - para evitar que um espião esteja a roubar informação, para evitar que alguém entre, por exemplo, no computador de outra pessoa qualquer na Assembleia da República, ou usar a infraestrutura do Estado para cometer crimes”, defende.
O advogado Miguel Matias admite que este caso poderia ter sido identificado em Portugal, mas explica que, estando em causa crimes cometidos em “plataformas sediadas em países terceiros”, e muitas vezes em grupos criados no estrangeiro, o que acontece é que, “naturalmente, acaba sempre por haver uma intercomunicação internacional deste tipo de criminalidade”.
Um recado ao "controlo parental" proposto pela União Europeia
Sabendo-se da preponderância dos crimes sexuais contra menores nas redes sociais, a Comissão Europeia apresentou recentemente uma proposta para combater o abuso sexual de crianças na internet.
Os legisladores europeus entendem que “a deteção e denúncia voluntárias por parte das empresas digitais revelaram-se insuficientes para combater a propagação em linha de material relacionado com o abuso sexual de crianças” e, por isso, propuseram que as grandes tecnológicas - onde se incluem a Meta, a Signal, etc. - sejam obrigadas a monitorizar as comunicações privadas dos utilizadores.
Seria uma espécie de “controlo parental” para todos os utilizadores, compara Nuno Mateus-Coelho. A ideia não foi bem recebida por todos, com receios dos potenciais riscos para a privacidade dos utilizadores europeus. A proposta original foi entretanto alterada, com os 27 Estados-membros a adotarem uma posição comum que retira a obrigatoriedade, por parte das plataformas digitais, de monitorização das comunicações.
A nova proposta defende agora a implementação de “medidas de mitigação” para combater o risco de disseminação de materiais de abuso sexual de crianças. “Estas medidas podem incluir a disponibilização de ferramentas que permitam aos utilizadores denunciar abusos sexuais de crianças online, controlar o conteúdo sobre os mesmos que é partilhado com outras pessoas e definir definições de privacidade padrão para crianças”, pode ler-se no comunicado do Conselho da União Europeia.
No entender de Nuno Mateus-Coelho, “a ideia não é má” no seu fundamento, mas “é má na proporcionalidade”. “A parte errada é que eles [na Comissão Europeia] querem retirar a criptografia a oito mil milhões de pessoas para poder apanhar um milhão. Aí é que está o problema”, explica o especialista em cibersegurança.
O caso de Paulo Abreu dos Santos mostra que “há outras formas de tratar [os crimes de abuso sexual infantil] sem ter de tirar a criptografia das comunicações” nas plataformas, argumenta Nuno Mateus-Coelho. “Isto prova que a inteligência artificial nos terminais ou nos servidores consegue detetar se há ou não há crime sem ter de retirar a criptografia de ponto a ponto a todos os outros cidadãos.”
