A União Europeia quer criar, como alternativa às grandes empresas tecnológicas, uma “carteira de identidade digital europeia”. Para a implementar, está a ser trabalhado o novo regulamento eIDAS (“IDentificação eletrónica, Autenticação e Serviços de confiança”), que alertou várias organizações devido aos seus profundos riscos para a privacidade e a segurança.
No regulamento eIDAS, foi proposta a criação de “Autoridades Certificadas”. Estas seriam uma série de empresas europeias selecionadas com autenticação certificada.
A polémica surge no artigo 45.º, que prevê que todos os browsers sejam obrigados a aceitar estes certificados como válidos. Independentemente de estarem ou não em conformidade com as normas de segurança. Em vez de aplicar os critérios do browser em cada caso, este será obrigado a aceitar os critérios de segurança da União Europeia.
Dezenas de organizações e centenas de especialistas são contra o eIDAS
Numa carta aberta, mais de 460 investigadores de 36 países diferentes e dezenas de organizações não governamentais alertaram para os riscos deste regulamento eIDAS. Desde a Electronic Frontier Foundation (EFF) à Document Foundation (LibreOffice), passando pela Mozilla, a Linux Foundation e pioneiros como Vint Cerf.
O artigo 45º é uma “intervenção perigosa na segurança da Internet”. Na carta aberta enviada aos membros do Parlamento Europeu e do Conselho, explicam que os atuais certificados HTTPS seguem regras comuns e que qualquer falha pode comprometer as comunicações.
Entre os aspetos do artigo 45.º que criticam está o facto de “obrigar certas entidades a serem certificadas não está de acordo com as recomendações do Fórum CA/Browser”.
A atual proposta expande radicalmente a capacidade dos governos para monitorizar os residentes em toda a UE, fornecendo os meios técnicos para intercetar dados encriptados na Internet, bem como minar os mecanismos de supervisão existentes.
Explicam.
O mero erro de um país pode estender-se a todos
O artigo 45º pode ter “efeitos extraterritoriais indesejáveis”, explicam na carta aberta. Isto porque as autoridades certificadas de um país devem ser reconhecidas em toda a UE. Suponhamos que um determinado país decide conceder este certificado de forma corrupta. Esta decisão afetaria a segurança de todos os outros utilizadores.
Para além do risco para a privacidade do regulamento eIDAS, o estabelecimento de autoridades certificadas específicas poderia levar a uma situação em que, fora da União Europeia, não seriam aceites e seria escolhida uma lista separada de empresas certificadas. Esta situação teria o efeito adverso de conduzir a uma Web fragmentada, com websites acessíveis apenas em função da região, afirmam as organizações que assinaram a carta contra esta medida.
A grande maioria das alterações que introduzem novos riscos foi feita em reuniões à porta fechada, sem dar aos peritos e ao público a oportunidade de se pronunciarem. Quando as alterações podem ter um efeito importante nas nossas liberdades, deve haver mais transparência.
Afirma Carmela Troncoso, professora associada da EPFL e especialista em privacidade.
Leia também…