O TikTok está proibido no Parlamento Europeu desde segunda-feira, 20 de março, e os funcionários da instituição não podem ter a app nos seus computadores e telefones de trabalho ou até pessoais, no caso de estarem registados como dispositivos móveis junto dos serviços. A medida já tinha sido adotada pelo Conselho e pela Comissão, mas há quem queira ir mais longe e já se fala em banir da Europa outras aplicações chinesas e até empresas tecnológicas.

Para o deputado europeu holandês Bart Groothuis, relator do processo negocial que levou à revisão da diretiva sobre segurança das redes e sistemas de informação, o que está em causa é a segurança da Europa, "proteger os cidadãos e as empresas das ameaças crescentes na Internet", diz ao SAPO24.

A monitorização feita pelas autoridades é constante, e o TikTok pode ser apenas a primeira aplicação a ser proibida. "Se o TikTok é uma preocupação de segurança, por que motivo a WeChat ou a QQ Weibo, entre outras, não são também um problema?", questiona Bart Groothuis. E vai mais longe: "Acredito que não devíamos permitir que a Huawei ou a ZTE estivessem no centro das nossas redes de telecomunicações".

As oito maiores ameaças à cibersegurança

1. Ransomware

Os piratas ou hackers controlam os dados de alguém e exigem um resgate para a pessoa restaurar o seu acesso a esses dados. No ano passado estes ataques continuaram a ser uma das principais ciberameaças e estão a tornar-se cada vez mais complexos. Um inquérito realizado pela Enisa entre o final de 2021 e 2022 revela que mais de metade dos patrões entrevistados ou dos seus funcionários foram alvo de ataques de ransomware. O resgate médio pago duplicou de 71 mil euros em 2019 para 150 mil euros em 2020 e estima-se que em 2021 estes ataques no mundo tenham provocado danos no valor de 18 mil milhões, 57 vezes mais do que em 2015.

2. Malware

O malware inclui vírus, worms, cavalos de Tróia e spyware. Estas ameaças diminuíram significativamente a nível mundial em 2020 e no início de 2021, mas voltaram a aumentar com o regresso das pessoas ao seu local de trabalho, depois da pandemia. O aumento do malware também é atribuído ao crypto-jacking (uso secreto do computador da vítima para criar criptomoedas de forma ilegal). De acordo com a Enisa, registaram-se mais ataques associados à Internet das Coisas nos primeiros seis meses de 2022 do que nos últimos quatro anos.

3. Engenharia social

Explora erros humanos para obter acesso a informações ou serviços, ou seja, enganar as vítimas para as fazer abrir documentos maliciosos, arquivos ou emails, visitar websites e, dessa forma, conceder acesso não autorizado a sistemas ou serviços. Os ataques mais comuns são o phishing (por email) ou smishing (por mensagens de texto). De acordo com uma investigação citada pela Enisa, quase 60% das violações deste género na Europa, no Oriente Médio e em África incluem uma componente de engenharia social.

4. Bases de dados

Acesso não autorizado e divulgação de dados. Vivemos numa economia orientada pelos dados, extremamente importantes para as empresas e a Inteligência Artificial, que se tornam num alvo de interesse para o cibercrime. A violação e fuga de dados são uma ameaça séria e o dinheiro continua a ser a principal motivação - apenas 10% dos casos é motivado por espionagem.

5. Negação de serviços

Ataques que impedem os utilizadores de aceder a dados ou serviços. Estão entre as ameaças mais críticas aos sistemas de tecnologias de informação. Estes ataques, que têm vindo a aumentar em termos de amplitude e de complexidade, consistem, por exemplo, em sobrecarregar a infraestrutura das redes e tornar um sistema indisponível. São muito usados na ciberguerra Rússia-Ucrânia.

6. Acesso à Internet

Ameaças à disponibilidade da Internet, que podem incluir a apropriação física e a destruição da infraestrutura da Internet, como tem acontecido nos territórios ucranianos ocupados desde a invasão, ou a censura ativa de notícias ou websites dos meios de comunicação social.

7. Desinformação/informação falsa

Difusão de informações enganosas. O uso crescente de plataformas de redes sociais e de meios de comunicação online levou a um aumento de campanhas de desinformação (informações propositadamente falsas ou enganosas) e partilha de dados errados. O objetivo é espalhar medo e incerteza. A tecnologia Deepfake permite gerar imagens, vídeos ou sons falsos, quase indistinguíveis dos reais. Os robots ou bots, que fingem ser pessoas reais, podem atrapalhar as comunidades online, inundando-as com comentários falsos e induzindo-as em erro.

8. Cadeia de abastecimento

Tem como objetivo cortar as relações entre organizações e fornecedores: combina dois ataques, ao fornecedor e ao cliente. As organizações estão cada vez mais vulneráveis a este tipo de agressão.

No ano passado, e por ordem, a WeChat (5.º), o TikTok (6.º), a Douyin (9.º), a Kuaishou (10.º), a Sina Weibo (11.º), a QQ (13.º) estavam entre as plataformas sociais mais usadas no mundo. A Telegram (russa) ocupava o oitavo lugar.

O eurodeputado, especialista em cibersegurança, faz parte do Grupo Renovar a Europa, o terceiro maior grupo político no Parlamento Europeu, e diz que "é preciso eliminar o risco". E é isso que as instituições da União Europeia estão a fazer; primeiro a Comissão Europeia e o Conselho da União Europeia, depois o Parlamento Europeu, o Conselho das Regiões e o Conselho Económico e Social.

Então e a Google, o Facebook ou o Twitter, não são uma ameaça?

Porquê eliminar as aplicações chinesas e não as americanas, que também fazem recolha de dados, ou outras? A pergunta tem sido feita por especialistas, leigos e políticos. Ainda há dias o grupo dos Verdes/Aliança Livre Europeia questionou a Comissão, já que "outras aplicações, como o Facebook, o Instagram, o Twitter e o YouTube, podem aceder a dados. Por exemplo, a plataforma iOS da Apple não permite que os utilizadores restrinjam o acesso à câmara ou ao microfone quando a aplicação está a ser usada".

Assim, pede à Comissão que esclareça: "O que pode a Comissão fazer para garantir que sistemas operacionais como o iOS da Apple e o Android da Google ofereçam aos utilizadores opções de consentimento detalhadas e específicas sobre como e quando uma aplicação pode aceder ao microfone e à câmara do dispositivo e aos dados pessoais armazenados?" ou "Serão  implementadas medidas para dar acesso a investigadores independentes a estudar e avaliar a adequação de medidas de segurança e proteção de dados do iOS e Android?" ou ainda "Está planeado proibir o acesso a outras app em dispositivos oficiais?"

Estas perguntas ainda não têm resposta, mas um porta-voz da Comissão Europeia disse ao SAPO24 que "a Comissão monitoriza continuamente o desenvolvimento de questões de segurança e riscos relacionados com plataformas de social media ou outro tipo de aplicações".

Do Parlamento Europeu igual resposta: "O Parlamento revê continuamente as suas medidas de cibersegurança em estreita cooperação com outras instituições da UE. As ameaças e ações que podem ser exploradas por ciberataques contra o ambiente corporativo estão permanentemente sob vigilância. Também os serviços relevantes monitorizam e avaliam todas as possíveis violações de dados relacionadas com a aplicação e outras app semelhantes".

Bart Groothuis, que é também membro da Comissão Especial sobre a Ingerência Estrangeira em Todos os Processos Democráticos na União Europeia, incluindo a Desinformação, e o Reforço da Integridade, da Transparência e da Responsabilização no Parlamento Europeu, lembra que "a China tem um programa de espionagem ofensiva contra a Europa. E não tem supervisão democrática. E, ao contrário da China, da Rússia ou do Irão, os Estados Unidos não têm legislação que obrigue as empresas ou cidadãos a entregar informação ao governo" se este o exigir. "Além de que EUA não têm uma visão revisionista da ordem mundial liberal".

Não existe, no entanto, qualquer estudo conhecido ou publicado a fundamentar a decisão das instituições europeias de suspender o TikTok ou que comprove que está aplicação é mais perigosa do que outras. Também a Polícia Judiciária portuguesa e o seu departamento de cibersegurança desconhecem qualquer estudo ou recomendação neste sentido. "Por motivos de segurança, não comentamos mais sobre detalhes de segurança operacional", explica uma porta-voz do PE. E é tudo.

Nem todos vão seguir as recomendações à letra

O deputado europeu do CDS, Nuno Melo, confessa-se "um hiper-amador tiktokeano". No entanto, acredita, "se recebo uma comunicação oficial do Parlamento, presumo que os serviços responsáveis pela segurança de dados avaliaram o risco e decidiram assim por considerarem que o risco é real. Sou uma pessoa disciplinada e acho que cada um deve ser responsável pela sua função. Eu, disciplinadamente, acato a decisão dos serviços".

Nuno Melo tem a aplicação TikTok instalada no seu iPhone pessoal mas, ainda que as instituições europeias o recomendem, não faz tenção de a desinstalar, pelo menos para já. E explica que o aparelho não está ligado em rede, "não está sincronizado com o meu Outlook", pelo que não haverá problema.

"O Parlamento tem o poder de dizer às pessoas que nas plataforma do Parlamento, e porque estão em rede, não devem ter instaladas determinadas aplicações. Coisa diferente são os dispositivos pessoais que não estejam em rede, aí é uma opinião pessoal".

"Vou avaliar, mas, enquanto não tiver uma certeza... Risco há em tudo, é uma questão de proporcionalidade. Se existir evidência científica validada quanto ao risco, retiro. Se não, não". Ainda por cima, o CDS está neste momento a apostar na comunicação do partido através desta ferramenta, dirigida sobretudo a um público mais jovem.

De resto, pergunta: "Então e as aplicações russas, como o Telegram e outras?" E recorda que "a maior parte das pessoas tem acesso aos iPhones através da impressão digital, que é dos nossos dados mais reservados. Isto para dizer que as impressões digitais de milhares de portugueses estão num banco de dados americano, com toda a certeza". A questão da cedência de dados biométricos é levantada por muitos.

Além disso, afirma, "o facto de serem empresas privadas ou os governos a deter a informação é indiferente, pelo menos para efeitos de proteção de dados. A lei é igual para públicos ou privados".

Estima-se que 22,3 mil milhões de dispositivos estarão ligados à Internet em todo o mundo até 2024.

Os eurodeputados consideram que o nível de sensibilização para a cibersegurança entre indivíduos e empresas continua reduzido e que existe uma escassez de trabalhadores qualificados no setor. As capacidades de cibersegurança também são heterogéneas entre os Estados-membros, isto devido à falta de acordo da UE sobre a colaboração em ciberinformação e resposta coletiva contra ciberataques e ataques e híbridos.

O cibercrime tem um custo anual para a economia superior a 5,5 mil milhões de euros, estima a Comissão Europeia. De acordo com a Agência da União Europeia para a Cibersegurança (ENISA), as seis áreas mais afetadas são a administração pública/governo (24% dos incidentes relatados), os prestadores de serviços digitais (13%), o público em geral (12,4%), o setor dos serviços (11,8%), o setor financeiro/bancário (8,6%) e a saúde (7,2%).

Na opinião de Bart Groothuis, que no seu partido é porta-voz para as áreas da defesa, tecnologia, geopolítica, energia, indústria, digitalização e cibernética, "esta é uma discussão que deveria ser tida também nos parlamentos nacionais" dos 27 Estados-membros. Em Portugal, contudo, ela tem estado afastada da Assembleia da República.

O que não deixa de ser estranho, até pela quantidade de deputados, políticos e funcionários com TikTok instalado em dispositivos móveis (de telefones a tablets, passando por computadores portáteis e relógios inteligentes). A partilha de dados existe, cada vez que alguém acede a estas plataformas dá informação sobre o utilizador e terceiros. E é esta leitura global que interessa a quem regista estas dados, é isso que dá poder aos donos das aplicações.

A Índia proibiu o TikTok em 2020, por razões de segurança, e desde então vários países têm vindo a eliminar a aplicação dos dispositivos governamentais, como aconteceu nos Estados Unidos, na União Europeia, no Canadá, na Dinamarca ou, na sexta-feira passada, na Nova Zelândia.