Não há muitas petições de portugueses a chegar ao Parlamento Europeu e a iniciativa de Rui Martins com "Deter and Regulate the Use of Cryptocurrencies" é a primeira sobre tecnologia, mas conseguiu chegar esta semana ao comité PETI, onde foi debatida. O objetivo do técnico de TI é alertar para a integração que existe entre o ransomware e as criptomoedas.

“Daquilo que sei das iniciativas do Parlamento e do Conselho Europeu quanto à regulação das Criptomoedas, estas instituições são sabedoras da matéria e os cidadãos da Europa estão em boas mãos. Talvez tenham começado com algum atraso mas agora parecem estar a recuperar algum do tempo perdido desde 2013 (a 1ª vez que a UE trabalhou este tema). O que pretendo aqui trazer é mais uma perspectiva diferente: a de um técnico de IT, de um cidadão europeu anónimo com responsabilidades na defesa da sua organização contra a indústria do ransomware e a sua integração umbilical com as criptomoedas”, explicou ao SAPO TEK Rui Martins.

O facto de considerar “estar na linha da frente do ransomware”, porque todos os dias deteta e trava tentativas de entrada de malware com a intenção de introduzir ransomware na rede empresarial pela qual é responsável, está na base da motivação para esta petição ao Parlamento Europeu, mas também para as petições que já iniciou em Portugal, e a iniciativa cidadã que criou. A ligação às criptomoedas é justificada pela possibilidade que as moedas digitais trazem aos hackers de apagarem o rasto dos pagamentos.

“Sem criptomoedas, sem a anonimidade que estas garantem (quase sempre) aos cibercriminosos não teríamos este fenómeno crescente e tão danoso para cidadãos, empresas e organizações do Estado e autarquias locais”, alerta Rui Martins.

O técnico de sistemas admite que “a minha motivação directa é a mesma de todos os administradores de sistemas do mundo: queremos defender as nossas organizações e sentimos que as autoridades não dedicam recursos suficientes à investigação e combate a este fenómeno, que muitos agentes maliciosos agem impunemente em países "amigos" e livres de sanções e que o quadro legal nacional e europeu não acompanha a urgência que devia estar associada a este fenómeno” e diz que “não podemos, não devemos, viver num mundo em que a destruição dos nossos dados, das nossas redes, é impossível de impedir e em que, a prazo, todas as redes e sistemas serão - mais cedo ou mais tarde - vítimas de ransomware”.

A petição é encarada como um apelo à ação por parte do Parlamento Europeu, deixando liberdade ao legislador para adaptar as ideias, e por isso resumiu em quatro pontos as suas ideias, sem muito aprofundamento de termos técnicos mas alinhando as questões onde acredita que é preciso trabalhar.

Estes são os pontos apresentados por Rui Martins no Parlamento Europeu

1. Não existiria uma crescente "indústria de ransomware" sem criptomoedas. Cidadãos, empresas e Estados não teriam perdido muitos milhões de euros e de horas de trabalho sem a anonimidade que as criptomoedas garantem (se forem "bem" usadas).
2. A anonimidade quase total destas transacções serve os interesses dos grandes grupos criminosos e dos serviços de informações de potências inimigas. Mas mesmo que seja possível identificar o IP de origem: como seria possível que países como a Rússia ou a China entregassem os criminosos ou os agentes dos seus serviços de informações a uma qualquer investigação realizada fora do seu território? Este problema nunca será resolvido (por muita legislação que se crie). Mas é possível proibir - no espaço europeu - o pagamento de resgates: isso seria  - talvez - decisivo como forma de afastar do nosso território estes bandos criminosos.
3. Apesar de correcções recentes, os níveis de valorização das criptomoedas continuam  excessivos e representam um risco para a economia real. O colapso desta bolha não pode deixar de ter consequências sobre todos nós e a queda recente de algumas bolsas demonstra a fragilidade e a sua má governação desta indústria. Neste sentido: aguardamos com expectativa a materialização do MiCA em 2024 (?) e esperamos que seja rapidamente adoptado por todos os países da União d que a adopção de programas de bug hunting e de um rigoroso padrão de cibersegurança seja obrigatório.
4. Os representantes das maiores empresas europeias de seguros já avisaram: em breve não serão capazes de cobrir os riscos de ataques por ransomware (e, recordemo-nos: sem criptomoedas não pode haver ransomware). Este alerta é um efeito do crescimento deste fenómeno o que vai, necessariamente, adicionar mais um risco sistémico a toda a economia porque uma parte central da estratégia de resposta e prevenção de muitas empresas assenta, precisamente, neste tipo de seguros e nos requisitos que estes exigem às organizações que os adoptam. A este respeito, há que avaliar a obrigatoriedade deste tipo de seguros nas organizações que tenham determinada escala e facturação. Algo a reflectir.

O número de iniciativas com petições a chegar ao Parlamento Europeu é reduzido, e um relatório de 2021 diz mesmo que é "modesto em relação à população total da UE, o que revela que ainda é necessário intensificar os esforços para aumentar a sensibilização dos cidadãos para o seu direito de petição". O maior número foi alcançado em 2012, com quase 2.900 petições, mas o valor caiu para menos de metade em 2021,  ano em que foram apresentadas menos de 1.400 petições.

No site do Parlamento Europeu estão listadas 5 petições referentes a Portugal mas apenas duas apresentadas por cidadãos portugueses, a Petição n.º 1401/2020, sobre os direitos e as liberdades fundamentais dos cidadãos da UE durante a pandemia de COVID-19 e a Petição n.º 0235/2019, sobre uma alegada discriminação dos professores em Portugal. A petição de Rui Martins ainda não está listada e no site é explicado que as petições não aparecem no Portal  logo após a respetiva apresentação e só são publicadas depois de serem adotadas pela Comissão das Petições, mas que isso requer algum tempo, pois depende do número de petições que estão a ser tratadas num determinado momento.

Europa no bom caminho da regulação das criptomoedas

Apesar da visão da ligação das criptomoedas ao ransomware, Rui Martins mostra-se optimista e diz que “A UE está no bom caminho com a MiCA”, a diretiva de regulação do mercado de criptoativos (Markets in Crypto-Assets – MiCA em inglês). Reconhece porém que “infelizmente o tempo para agir era o de ontem e apenas nessa vertente (tempo) é que penso que a UE o PE estão desajustados em relação àquilo que precisamos”.

Com a MiCA será a primeira vez que este tipo de regulação se aplica a tantos países de uma vez, e a Europa tem a possibilidade de se tornar o farol do Mundo, defende Rui Martins. “Não há dúvidas que a força do bloco europeu (28 países) e o facto de ser aqui que se transacionam 25% de todas as cripto do mundo fará a diferença e servirá para que a UE sirva de exemplo a outros (os EUA, em particular, precisam de reformar a sua débil e confusa regulação em crypto-assets)”, sublinha.

Do que viu, Rui Martins diz que o regulamento é extenso e a tradução de má qualidade, mas esse ponto estará a ser melhorado.

Sei bem que a União Europeia não gostaria de agir no sentido de proibir todas as transacções ou a posse de criptomoedas porque, simplesmente, não acredita que é possível impedir a inovação por decreto: e concordo com esse conceito. Mas é possível lançar a MiCA o mais rapidamente que for possível, desenvolver esta regulação - talvez seguindo as sugestões que aqui apresentei - e ter sempre em vista a ligação umbilical que existe entre ransomware e criptomoedas: para mim o ponto mais importante desta intervenção."

Apesar de não ter conseguido apresentar presencialmente a petição na comissão PETI devido ao atraso do voo da TAP para Bruxelas, conseguiu ainda reunir com representantes da comissão de petições e marcar uma reunião com o eurodeputado Carlos Zorrinho, da Comissão da Indústria, da Investigação e da Energia, onde abordou o rema das criptomoedas, regulação e ransomware mas também os conceitos de democracia participativa aplicados aos PE e o voto electrónico.

Rui Martins já enviou ao Governo algumas preocupações sobre as quais diz que o MiCA não responde para Portugal, nomeadamente com a proibição do pagamento de resgates de ransomware, exigir que as entidades que operam em Portugal tenham programas de bug hunting e um rigoroso (e auditado do exterior) padrão de cibersegurança, obrigar as organizações que fazem mineração de criptomoedas a compensar o consumo de energia através de uma taxa de carbono especialmente reforçada.

Defende ainda que que “todas estas entidades que operem em Portugal devem ter seguros contra perdas por ransomware: não somente porque estes seguros obrigam ao cumprimento de um exigente conjunto de requisitos de cibersegurança mas porque formam uma rede de protecção contra ataques bem sucedidos a estas organizações e aos crypto-assets de clientes que conservam sob o seu controlo”.