Leis de backdoor comparadas: Russia, Reino Unido, Canada, Australia

Quando a Russia exige que provedores de telecomunicacoes entreguem chaves de criptografia ao FSB, os medias ocidentais chamam isso de vigilancia autoritaria. Quando o Reino Unido, o Canada e a Australia aprovam leis quase identicas com nomes diferentes, isso e chamado de politica de seguranca nacional. O resultado para os cidadaos e suas comunicacoes privadas e o mesmo em todos os quatro casos.

Desde 2016, quatro paises promulgaram leis que obrigam empresas de tecnologia a incorporar backdoors em servicos criptografados ou enfrentar multas massivas, acusacoes criminais e exclusao do mercado. Analisar o que cada lei exige concretamente, sem a retorica politica, revela um padrao global que afeta diretamente qualquer pessoa que valorize a privacidade digital.

Russia: SORM, lei Yarovaya e o registro IMEI

O sistema de vigilancia russo e o mais antigo e abrangente dos quatro. O sistema SORM (em vigor desde 1995) obriga todos os provedores de internet russos a instalar hardware controlado pelo FSB que da aos servicos de seguranca acesso direto ao trafego de comunicacoes, sem mandado judicial. A lei Yarovaya (Lei Federal 374, aprovada em 2016) foi alem: os operadores de telecomunicacoes devem armazenar o conteudo de chamadas e mensagens por seis meses, e os metadados por tres anos. Alem disso, devem fornecer ao FSB as chaves de descriptografia sob demanda.

Em 2026, a Russia reforcou os controles com a vinculacao obrigatoria de cartoes SIM ao IMEI. Ate 2027, cada dispositivo movel devera estar registrado em um banco de dados governamental nacional. Telefones nao registrados serao desconectados das redes. O FSB tambem obteve o direito explicito de ordenar diretamente aos provedores a suspensao do servico para usuarios especificos.

Provedores de VPN e aplicativos de mensagens que operam na Russia sao classificados como "organizadores de distribuicao de informacoes" e devem armazenar registros de usuarios russos no pais e entrega-los sob demanda. A maioria dos grandes provedores de VPN (NordVPN, ExpressVPN, Surfshark, ProtonVPN) removeu seus servidores fisicos da Russia em vez de cumprir. A Private Internet Access saiu completamente em 2016 apos as autoridades confiscarem seu equipamento.

Reino Unido: A Carta do bisbilhoteiro e atualizada

O Investigatory Powers Act 2016 britanico, apelidado de "Carta do bisbilhoteiro" pelos criticos, legalizou a coleta em massa de dados e concedeu as autoridades amplos poderes para exigir descriptografia. As emendas de 2024 tornaram esta lei significativamente mais perigosa para a criptografia de ponta a ponta.

Sob o IPA atualizado, as empresas de tecnologia devem notificar o Ministerio do Interior antes de quaisquer atualizacoes de seguranca e obter aprovacao antes de implementar novos recursos de criptografia. O governo pode bloquear o lancamento de uma atualizacao segura. A lei tem alcance extraterritorial: qualquer empresa no mundo cujos servicos alcance residentes britanicos deve cumpri-la. Ordens de silencio impedem empresas de informar usuarios sobre ordens secretas recebidas.

A resposta do setor foi incomumente direta. A Apple ameacou publicamente desativar o iMessage e o FaceTime no Reino Unido se a lei exigisse o enfraquecimento da criptografia. Signal e WhatsApp declararam que sairiam do mercado britanico em vez de quebrar a criptografia de ponta a ponta para todos os usuarios. Em meados de 2026, o impasse continua.

Australia: O backdoor que supostamente nao e um

A Australia aprovou em 2018 o Telecommunications and Other Legislation Amendment (Assistance and Access) Act, conhecido como TOLA. A lei permite que orgaos de aplicacao da lei emitam Technical Capability Notices: ordens que obrigam as empresas a criar "novas capacidades" para interceptar comunicacoes criptografadas.

O governo australiano insiste que o TOLA proibe exigir "vulnerabilidades sistemicas". Os especialistas em seguranca apontam unanimemente a impossibilidade matematica dessa posicao: um backdoor que funciona para uma parte e uma vulnerabilidade para todos. O Signal declarou claramente que por sua arquitetura nao e capaz de descriptografar mensagens de usuarios e nao escreveria codigo especial para isso. O sigilo total da lei significa que funcionarios que revelam ter recebido um TCN enfrentam acusacoes criminais.

O dano pratico foi alem da privacidade dos usuarios. Startups de tecnologia australianas relataram perder contratos internacionais porque clientes suspeitavam que seus produtos contivessem backdoors governamentais. A lei tornou o software australiano suspeito no mercado mundial.

Canada: Ordens secretas sem supervisao judicial

O projeto de lei canadense C-26 recebeu sancao real em 18 de junho de 2026. A Lei de Ciberseguranca e Seguranca das Telecomunicacoes confere ao Ministro da Industria poderes amplos e em grande parte secretos: a capacidade de ordenar secretamente aos operadores de telecomunicacoes que desconectem determinados servicos de suas redes, interrompam o servico para pessoas especificas e compartilhem informacoes confidenciais com reguladores governamentais. O descumprimento sujeita a multas de ate 15 milhoes de dolares por dia.

A Associacao Canadense de Liberdades Civis (CCLA) e pesquisadores do Citizen Lab da Universidade de Toronto foram os criticos mais agudos do projeto. Sua objecao central: as ordens nao requerem autorizacao judicial e as empresas nao podem contestalas publicamente. O regime de ordens secretas sem responsabilidade publica espelha mecanismos usados em estados autoritarios: a diferenca e processual, nao substantiva.

O padrao comum

• Mandatos de sigilo: Os quatro paises proibem as empresas de informar os usuarios quando uma ordem de vigilancia e recebida.
• Alcance extraterritorial: Reino Unido e Canada reivindicam explicitamente jurisdicao sobre empresas estrangeiras cujos servicos alcancam seus residentes.
• A criptografia como alvo: Cada lei, em linguagem diferente, visa neutralizar a criptografia de ponta a ponta obrigando as empresas a manter a capacidade de descriptografia.
• Responsabilidade assimetrica: Os governos podem emitir ordens secretas; as empresas e os usuarios nao podem contesta-las publicamente.

O Signal nao pode cumprir nenhuma dessas leis sem quebrar fundamentalmente seu servico. A empresa declarou isso em cada jurisdicao. O mesmo se aplica a qualquer plataforma de mensagens construida sobre criptografia genuina de ponta a ponta.

Como os provedores de VPN respondem

Em todas as quatro jurisdicoes, o setor de VPN convergiu para a mesma solucao tecnica: servidores apenas em RAM. Quando um servidor nao armazena nada em disco e funciona inteiramente na memoria, a confiscacao do hardware nao produz dados de usuarios. Essa arquitetura contraria diretamente as leis que exigem registros acessiveis: nao ha nada para entregar porque nada persiste apos o desligamento do servidor.

Para usuarios em qualquer um desses quatro paises, uma VPN com politica verificada de zero registros e infraestrutura apenas em RAM oferece uma camada significativa de protecao contra sistemas de retencao obrigatoria de dados. Ela nao protege contra leis que obrigam os ISPs a bloquear os proprios protocolos VPN, como a Russia faz cada vez mais atraves de seus sistemas TSPU de inspecao profunda de pacotes, mas aborda diretamente o problema do armazenamento de dados.