O Estado que quer a chave-mestra
Quando você faz um Pix às sete da manhã, não pensa em criptografia. Tampouco pensa quando manda uma mensagem ao médico, arquiva documentos no celular ou pesquisa sintomas de uma doença que prefere não comentar com ninguém. A criptografia está lá sem pedir licença, operando nos bastidores de quase tudo que você faz online. O debate sobre enfraquecê-la, porém, é feito como se você não existisse, como se os únicos personagens fossem o Estado que investiga e o criminoso que se esconde.
A poucas semanas dois episódios que ilustram bem essa confusão vieram para o centro dos holofotes. Documentos judiciais de um processo no Novo México revelaram que a Meta criptografou o Messenger mesmo após alertas internos de que isso prejudicaria a detecção de casos de exploração infantil. Em 2019, Monika Bickert, então chefe de política de conteúdo, chegou a classificar a iniciativa como “irresponsável”. A empresa seguiu em frente, afirmando ter implementado salvaguardas alternativas. Na direção oposta, o TikTok confirmou que não adotará criptografia de ponta a ponta em suas mensagens diretas, alegando, com alguma ironia, que a tecnologia "colocaria usuários em risco". Na prática, o que acontece com essa decisão é que funcionários da ByteDance podem ler suas DMs, mesmo que você não queira. Especialistas associam a recusa à legislação chinesa, que restringe fortemente a criptografia robusta. Quando uma empresa diz que não criptografa para proteger você, vale perguntar de quem, exatamente, ela está protegendo o acesso.
No Brasil, o tema da criptografia tem sua própria história. Em 2015, a Polícia Federal negociava com a empresa italiana Hacking Team a compra de spyware capaz de ativar câmeras e microfones de celulares sem o conhecimento do dono da tecnologia. Em 2023, o escândalo da "ABIN paralela" mostrou que ferramentas de intrusão foram usadas sem autorização judicial contra jornalistas, adversários políticos e ministros do próprio STF que, não por acaso, têm sobre a mesa a ADPF 1143, na qual se discutem os limites da vigilância digital estatal. Além disso, o Congresso, por sua vez, ainda deve ao país uma LGPD penal, uma vez que a Lei Geral de Proteção de Dados exclui explicitamente o tratamento de dados para fins de segurança pública, deixando um vazio normativo que ninguém se apressou em preencher.
Todo mundo quer a chave-mestra no bolso: a chave que toma a decisão de quando se vigia, de quando se esconde e de quando se protege. Governos de espectros diferentes enxergam utilidade estratégica nas ferramentas de intrusão e resistem a proibi-las quando os resultados são convenientes.
O desejo pela chave-mestra é compreensível, mas tecnicamente incoerente. Uma porta dos fundos criada para um governo é uma porta dos fundos criada para qualquer um ter acesso. A vulnerabilidade não escolhe quem entra por ela, se é o investigador autorizado, o criminoso que ela pretendia alcançar ou um terceiro Estado com recursos para explorar a brecha.
Não é necessário enfraquecer a criptografia para investigar crimes: já existem instrumentos eficazes que permitem agir sem comprometer a segurança das mensagens. Os metadados por exemplo, registram quem se comunicou com quem, quando e onde, e não são cobertos pela criptografia de ponta a ponta, o que permite mapear redes criminosas inteiras. A apreensão física de dispositivos, com autorização judicial, por outro lado, dá acesso ao conteúdo decifrado no próprio aparelho. A infiltração digital, a cooperação internacional e a análise forense em nuvem completam o arsenal disponível. A Portaria nº 961/2025 do Ministério da Justiça e Segurança Pública reconhece esses instrumentos. O que falta, portanto, não é tecnologia de violação em si, mas o investimento em capacitação técnica dos quadros investigativos e disposição política para usar os recursos que já existem.
A conversa começa a ficar mais delicada quando esse argumento não convence, e entra em cena um segundo argumento muito mais persuasivo: a ideia que enfraquecer a criptografia protegeria crianças de violências em ambientes digitais. A lógica desse argumento é extremamente sedutora, mas erra no diagnóstico: a criptografia de ponta a ponta é uma forma de proteção infantil. Ela impede que comunicações privadas de crianças e adolescentes sejam interceptadas, blinda dados pessoais sensíveis de menores e fecha as redes inseguras que predadores vasculham em busca de vítimas. Mais do que isso, não existe, hoje, comprovação científica que demonstre que enfraquecer a criptografia traz melhoria no combate ao crime digital contra crianças e adolescentes. E que fique nítido: todos nós queremos defender e precisamos proteger as crianças. Mas destruir a criptografia em nome da proteção infantil é uma operação retórica que fere exatamente aquilo que alega defender. O argumento das crianças é o último recurso de quem não quer investir nos instrumentos de proteção que já existem.
O Brasil tem marcos avançados. Mas vive um paradoxo: legislação progressista convive com práticas opacas de vigilância. O debate é capturado por quem vende a vigilância, enquanto os vigiados nem sabem que deveriam ser parte central desta conversa.
A criptografia não é inimiga da justiça, é condição dela. Sem ela, não há sigilo profissional, não há imprensa livre, não há privacidade, não há democracia digital. Exigir que se abra mão dela para combater o crime é como apagar os faróis da costa para impedir o contrabando: no escuro, quem naufraga é o navio inocente. E navios inocentes, neste país, somos duzentos e quinze milhões.