Signal afirma que plano do Reino Unido para varredura de dispositivos coloca a segurança em risco

O plano do Reino Unido para varredura de dispositivos, anunciado pelo primeiro-ministro Keir Starmer na London Tech Week em junho de 2026, exige que empresas de tecnologia implementem client-side scanning em até três meses — sob ameaça de multas, responsabilidade criminal para executivos e nova regulamentação. A Lei de Segurança Online (Online Safety Act), em vigor desde o outono de 2023, é a base jurídica dessa exigência, mas sua aplicação prática ganhou urgência com as declarações recentes do governo. O Signal classificou a medida como 'vigilância em massa' e 'distópica', reafirmando que sistemas de verificação de idade e detecção local de imagens de nudez infantil não apenas comprometem a criptografia de ponta a ponta, mas também criam vetores de ataque permanentes: bancos de dados de hashes atualizáveis, modelos de IA injetáveis remotamente e superfícies expostas para exploração por atores maliciosos ou governamentais.

A Signal já havia assinado, em abril de 2023, uma carta conjunta com WhatsApp e outros serviços de mensagens criptografadas alertando sobre os riscos à privacidade da Lei de Segurança Online. Agora, com a pressão renovada, a empresa reiterou que pode deixar o Reino Unido se a legislação for aplicada de forma a enfraquecer sua arquitetura de segurança. Especialistas do Imperial College London e organizações como ARTICLE 19 e Big Brother Watch corroboram: uma vez implantados, os mecanismos de client-side scanning podem ser facilmente expandidos para monitorar discurso político, ativismo ou conteúdo crítico ao governo — não há salvaguarda técnica eficaz contra essa escalada.

O que está em jogo vai além da privacidade individual: é a integridade da criptografia de ponta a ponta como padrão global de segurança digital. Se o Reino Unido impuser com sucesso a varredura client-side, cria um precedente perigoso para outros países — incluindo Brasil, Índia e Austrália — que já analisam medidas semelhantes sob pretexto de proteção infantil. A proposta ignora evidências de que a verdadeira segurança infantil depende de investimentos em educação digital, apoio psicossocial e fiscalização de abusos reais, não de vigilância massiva. Além disso, o Home Office nega formalmente estar exigindo client-side scanning, mas documentos técnicos do Ofcom e relatórios do Parlamento britânico confirmam que os requisitos operacionais descritos nas diretrizes do governo são tecnicamente equivalentes à varredura local — o que coloca provedores em conflito direto com seus próprios compromissos de privacidade.

Desenvolvedores de aplicações de comunicação segura enfrentam um dilema técnico e ético sem precedentes: adaptar seus apps para cumprir exigências que violam princípios fundamentais de segurança, como o princípio da menor privacidade possível e a ausência de backdoors. A implementação de client-side scanning exige alterações profundas no código-fonte — como injeção de modelos de IA nos clientes (ex.: modelos de detecção de CSAM treinados com hash de imagens) — que aumentam significativamente a superfície de ataque e tornam impossível auditar a integridade do sistema pelo usuário final. Para equipes de segurança, isso significa mais tempo gasto em mitigação de vulnerabilidades introduzidas artificialmente pela regulamentação, menos recursos para combater ameaças reais e risco crescente de responsabilização legal por falhas em sistemas impostos por lei — mesmo quando não foram projetados ou controlados pelos desenvolvedores.