O Canadá está prestes a aprovar uma legislação que obrigaria plataformas de mensagens criptografadas a instalar backdoors secretos para as forças da lei - e grandes empresas, incluindo Signal e Apple, já estão alertando que podem abandonar o mercado canadense em vez de cumprir a ordem. O Projeto de Lei C-22, apresentado em maio de 2026, representa a lei de descriptografia obrigatória mais agressiva proposta por qualquer país do G7 até o momento, e defensores da privacidade alertam que ele estabelece um precedente perigoso que outros governos ocidentais estão observando de perto.
O que o Projeto de Lei C-22 realmente exige
A legislação, oficialmente intitulada Lei de Proteção dos Canadenses contra Danos Online (disposições de criptografia), exigiria que plataformas de comunicação operando no Canadá fornecessem à polícia e às agências de inteligência acesso técnico oculto a comunicações criptografadas - sem notificar os usuários de que suas mensagens estão sendo interceptadas. O projeto abrange aplicativos com criptografia de ponta a ponta, o que significa que o governo efetivamente obrigaria as empresas a quebrar as garantias criptográficas nas quais seus produtos são baseados.
Ao contrário das leis tradicionais de escuta telefônica que interceptam dados em trânsito, a lei C-22 exigiria que as plataformas construíssem capacidades técnicas persistentes que poderiam ser ativadas sob demanda por ordem do governo. As cláusulas de sigilo do projeto de lei proibiriam as empresas de revelar aos usuários que receberam tal ordem - criando um sistema de conformidade secreta sem nenhum mecanismo de prestação de contas pública.
- Escopo: Todas as plataformas de mensagens criptografadas operando no Canadá, incluindo Signal, iMessage, WhatsApp e outras.
- Mecanismo: Acesso técnico oculto por backdoor, e não interceptação do tráfego não criptografado existente.
- Ordem de sigilo (Gag order): Plataformas proibidas de notificar os usuários sobre ordens de acesso do governo.
- Penalidade por descumprimento: Ainda não totalmente especificada, mas com multas significativas e potencial exclusão do mercado.
Forte oposição de Signal e Apple
O Signal, padrão ouro para mensagens privadas, foi direto em sua resposta: a organização disse que se retiraria do mercado canadense em vez de construir capacidades de backdoor. A posição do Signal tem base técnica - seu modelo de segurança é construído na garantia matemática de que ele não pode ler as mensagens dos usuários, mesmo se forçado por ordem judicial. Construir um backdoor exigiria redesenhar fundamentalmente o protocolo de maneiras que prejudicariam a segurança de todos os usuários globalmente, não apenas no Canadá.
A Apple emitiu um aviso de que poderia ser forçada a remover o iMessage e o FaceTime da App Store canadense se forçada a quebrar sua criptografia de ponta a ponta. Isso é consistente com a posição anterior da Apple no Reino Unido, onde disposições semelhantes da Lei de Segurança Online levaram a empresa a ameaçar a retirada de serviços criptografados em vez de enfraquecer a segurança globalmente por causa de uma única jurisdição.
A Electronic Frontier Foundation (EFF) foi mais contundente em sua avaliação, chamando o C-22 de um "pesadelo de vigilância reembalado" e traçando comparações explícitas com a proposta de Controle de Chat da UE, que enfrentou anos de oposição de grupos de liberdades civis e especialistas técnicos antes de ser repetidamente arquivada. A EFF observou que o Canadá, como parceiro de inteligência dos "Five Eyes", poderia efetivamente estender o acesso do backdoor a toda a aliança.
Por que os backdoors não podem ser seguros
O consenso técnico entre criptógrafos e pesquisadores de segurança é inequívoco: não há como construir um backdoor que seja acessível apenas aos governos autorizados. Uma vulnerabilidade criada para a polícia canadense é uma vulnerabilidade que pode ser explorada por estados-nação hostis, hackers criminosos e agências de inteligência estrangeiras. A história comprova isso - a doutrina NOBUS ("Ninguém Além de Nós") da NSA, que supunha que os backdoors pudessem ser mantidos exclusivos para a inteligência dos EUA, provou estar catastroficamente errada quando suas próprias ferramentas de hacking vazaram e foram transformadas em armas por grupos de ransomware.
Se o C-22 for aprovado em sua forma atual, o resultado prático não será um sistema organizado de vigilância ordenada por um tribunal. Será um ecossistema de segurança degradado no qual as comunicações dos canadenses estarão menos protegidas do que as de cidadãos em países sem tais leis - e no qual atores de ameaças, desde criminosos a hackers patrocinados por estados, terão uma superfície de ataque muito maior para explorar.
O problema do modelo para o G7
O que torna o C-22 particularmente significativo além das fronteiras do Canadá é o seu potencial como modelo. A Lei de Segurança Online do Reino Unido, a Lei de Assistência e Acesso da Austrália e as propostas de Controle de Chat da UE tentaram versões de acesso legal obrigatório a comunicações criptografadas, com vários graus de sofisticação técnica e proteções das liberdades civis. A versão do Canadá é notável por combinar acesso obrigatório de backdoor com uma mordaça completa sobre a notificação do usuário - uma combinação mais agressiva do que a maioria das propostas comparáveis em democracias.
Se o Canadá - um país com fortes tradições de estado de direito e uma população familiarizada com tecnologia - normalizar o acesso oculto a comunicações criptografadas, torna-se significativamente mais fácil para outros governos do G7 argumentarem que a mesma abordagem é razoável para eles. A preocupação da EFF de que o C-22 seja um modelo sendo observado por governos aliados não é exagero - reflete como a legislação de vigilância se espalhou historicamente pelas democracias ocidentais uma vez que um país quebra o consenso.
A lição mais ampla do C-22 é aquela que os defensores da privacidade vêm pressionando há anos: a criptografia não é um recurso que os governos podem enfraquecer seletivamente para os "maus atores" enquanto o deixam intacto para os "bons atores". É uma propriedade matemática que se sustenta ou não. Qualquer lei que obrigue o acesso a backdoors é uma lei que exige uma segurança mais fraca para todos - e em uma era em que infraestrutura crítica, sistemas financeiros e comunicações pessoais dependem das mesmas bases criptográficas, não é uma troca que pode ser feita com segurança.
O que você realmente pode fazer
É importante ser honesto sobre quais ferramentas podem e quais não podem proteger contra legislações como o C-22. Uma VPN criptografa seu tráfego no nível da rede e oculta seu endereço IP e atividade de navegação do seu provedor de internet e observadores da rede - mas não pode proteger o conteúdo das mensagens se o próprio aplicativo de mensagens for legalmente obrigado a embutir um backdoor em seu próprio código. O que as ferramentas de privacidade da camada de rede protegem são os seus metadados: com quem você entrou em contato, quando, com que frequência e de onde. Sob uma lei de vigilância que força as plataformas a relatar secretamente as comunicações, blindar sua identidade no nível da rede continua sendo uma das poucas medidas técnicas ainda sob seu controle - e uma medida que se torna mais relevante, não menos, à medida que a criptografia da camada de aplicativo sofre pressão legal.
