[Tech Thoughts] Verificação obrigatória de identidade nas redes sociais: Um atalho aberto ao abuso?

O Departamento de Tecnologia da Informação e Comunicações (DICT) tem um projeto de circular departamental que estabelece a sua intenção de instituir a verificação obrigatória da identidade de contas de utilizadores em plataformas de redes sociais.

O DICT está a solicitar comentários e contributos sobre o assunto e, apesar da preocupação de que possa estar a repetir os mesmos argumentos cansados feitos por outros mais conhecedores do que eu neste espaço, ainda vale a pena notar estes argumentos.

Vamos analisar por que esta proposta parece ser uma má notícia.

As justificações

O DICT está a tentar justificar a ideia de garantir que as contas de redes sociais possam ser verificadas, afirmando que "a proliferação de deepfakes, conteúdo enganoso gerado por IA, contas BOT automatizadas e comportamento coordenado inautêntico malicioso necessita de uma estrutura baseada em risco que dimensione os deveres de verificação nas plataformas de redes sociais."

De acordo com o projeto de circular, "existe a necessidade de desenvolver uma estrutura de política que equilibre o direito à livre expressão com o dever do Estado de proteger a integridade do ciberespaço."

O projeto de circular pretende atuar como um dissuasor. Conforme escrito, "servirá como um mecanismo para a aplicação da lei identificar perpetradores sujeitos ao devido processo, suprimindo assim a proliferação de crimes relacionados com computadores, incluindo mas não limitado a golpes online, phishing, roubo de identidade relacionado com computadores, difamação cibernética e abuso e exploração sexual online de crianças."

Também procura atuar como um meio de tornar as redes sociais melhores, "identificando e desativando contas fraudulentas e automatizadas concebidas para manipular a opinião pública e desestabilizar a segurança nacional."

Para isso, todas as plataformas de redes sociais afetadas pela circular precisariam de implementar um sistema de verificação de conta obrigatório como um serviço gratuito para os utilizadores de contas, garantindo que "todas as contas de redes sociais são verificadas com uma identidade legal" como um documento de identificação para adultos ou permissões de um pai ou tutor para menores de idade adulta.

Uma resposta desproporcional e hesitação em fazer o trabalho de aplicação

Um dos argumentos contra este projeto de circular seria que trata todos os utilizadores de redes sociais como potenciais criminosos em vez de pessoas envolvidas em comportamento online.

Quer facilitar o trabalho de aplicação das leis existentes fazendo com que todos renunciem ao seu direito a alguma privacidade e anonimato dentro do razoável.

Isso soa mais a controlo do que a uma postura adequada de cibersegurança.

Isto, apesar de as leis serem claramente declaradas e disponíveis, e com (o que espero que presumivelmente tenham) recursos suficientes para colocar operativos anti-cibercrime a trabalhar na eliminação do comportamento criminoso.

As plataformas são incentivadas a manter o dinheiro a fluir ao aceder aos pedidos do governo para eliminar más ações e maus atores — mesmo que a Meta, por exemplo, seja culpada de resistir à pressão para reprimir golpes devido ao dinheiro envolvido.

Até mesmo o pessoal do Grok está a tentar impor melhor comportamento para os utilizadores do seu criador de deepfake generativo ao instituir ações corretivas quando solicitado pelas Filipinas.

Talvez o principal problema não seja que a ação facilita a aplicação — é que a aplicação das leis pode ser demasiado difícil ou demorada como está agora para um país como o nosso e as pessoas responsáveis não querem fazer o trabalho.

Um atalho perigoso aberto a potencial abuso

Um outro argumento contra a instituição desta circular de verificação de redes sociais é que é uma medida de atalho que parece ser útil, mas acabará por apresentar mais problemas no futuro.

Além das preocupações com privacidade e direitos de dados, como visto acima, também devemos analisar a segurança e logística de dados. As perguntas certas a fazer se isto continuar podem ser as seguintes:

• Logisticamente, o que conta (ou não conta) como uma plataforma de redes sociais?
• Quem vai processar todos estes dados?
• Quem vai deter os dados e armazená-los para o país?
• Onde serão armazenados esses dados, geograficamente falando?
• Quem vai assumir a responsabilidade se as coisas correrem mal, em termos de gestão de dados, e que recurso tem uma pessoa para reclamar ao governo ou obter restituição?

Em termos de salvaguardar todos esses dados de identificação, basta um dia mau para uma pessoa corrupta fazer troça do sistema e exfiltrar toda essa informação.

Este "saltar para o digital" que tanto gostamos de fazer é a razão pela qual temos exfiltrações de dados do Comelec e outros problemas de segurança com tanta frequência. É também por isso que o registo obrigatório de SIM falhou em conter golpes e outros maus atores.

Simplificando? Por que deveria confiar ainda mais dos meus dados ao governo se as pessoas responsáveis mostraram repetidamente que não estão preparadas para os tempos difíceis com nada além de desculpas?

O que pode fazer agora?

Um relatório do Newsbytes observou que as pessoas podem assistir à consulta de política online, realizada a 22 de janeiro, no Facebook.

As partes interessadas podem enviar comentários relativos ao projeto de circular enviando e-mail para policy.research@dict.gov.ph ou odnippsb@dict.gov.ph até 28 de janeiro.

Pode ser uma boa ideia fazer a sua voz ser ouvida neste caso. – Rappler.com